Verstoß: Unerlaubte Datenweiterleitung von Gesundheitsdaten
-
BeschreibungDurch ein Versehen wurden eine Excel-Liste mit Patienten eines Impfzentrums und deren Name, Anschrift, Geburtsdatum, vorgesehener Impfstoff und Erst-/Zweitimpfung an 1200 Empfänger verschickt.
-
AktenzeichenLG Essen, Urteil vom 02.06.2022 - 1 O 272/21
-
Kategorie(n)Sonstige Probleme, Hackerangriffe
-
Betrag100 €
-
Ähnliche Urteile
-
Ähnliche Urteile
-
Ähnliche Urteile
-
Ähnliche Urteile
-
Ähnliche Urteile
-
Ähnliche Urteile
-
Ähnliche Urteile
-
Ähnliche Urteile
-
Ähnliche Urteile
-
Ähnliche Urteile
Tenor
Die Beklagte wird verurteilt, an den Kläger 100,00 Euro nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 12.01.2022 zu zahlen.
Im Übrigen wird die Klage abgewiesen.
Die Kosten des Rechtsstreits trägt der Kläger.
Das Urteil ist vorläufig vollstreckbar, für die Beklagte nur gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages. Die Beklagte kann die Vollstreckung des Klägers gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages abwenden, wenn nicht der Kläger vor der Vollstreckung Sicherheit in Höhe von 110 % des für ihn aufgrund des Urteils vollstreckbaren Betrages leistet.
Die Berufung wird zugelassen.
Tatbestand
Der Kläger macht Schadensersatzansprüche wegen eines Datenschutzverstoßes geltend.
Die beklagte Stadt betrieb im Jahre 2021 ein Impfzentrum in F. In diesem Impfzentrum wurden im Rahmen der bundesweiten Maßnahmen zur Eindämmung der Covid19-Pandemie Impfungen gegen das SARS-CoV2-Virus durchgeführt. Als die Öffnungszeiten des Impfzentrums geändert wurden, benachrichtigte ein Mitarbeiter der Stadt F die von den geänderten Öffnungszeiten betroffenen Personen, deren Impftermine sich hierdurch verschoben, hierüber am 00.00.0000 per E-Mail. Diesen E-Mails, die an jedenfalls 700 Personen verschickt wurden, wurde im Anhang eine Excel-Liste mit Daten von ca. 13.000 in dem Impfzentrum geimpften Personen - unter anderem des Klägers - beigefügt und mitgesendet. Die Excel-Liste enthielt Name, Anschrift, Geburtsdatum, Angabe des Impfstoffs, Datum der geplanten Impfung und teilweise auch Mobilfunknummer und E-Mail-Adresse der Personen. Auch die Daten des Klägers einschließlich Mobilfunknummer und E-Mail-Adresse befanden sich auf dieser Liste.
In sämtlichen Fachbereichen der Beklagten besteht eine Anweisung, einer zu adressierenden Person keine persönlichen Daten Dritter offenzulegen, wenn dazu keine rechtliche Legitimation besteht. In Ziffer 5.2.2 der Dienst- und Geschäftsordnung für die Stadt F (DiGO) ist zum Datengeheimnis formuliert:
Denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren.“
Die Mitarbeiter der Beklagten werden im Datenschutzrecht und zum Thema Compliance eigens geschult. Der eingesetzte Mitarbeiter war üblicherweise im Job-Center der Beklagten eingesetzt. In diesem Zusammenhang war er zum Datenschutzrecht besonders sensibilisiert. Die Aufgabe im Impfzentrum hatte dieser Mitarbeiter kurzfristig übernommen, da die Beklagte im Sommer 2021 die Impfkapazitäten im Rahmen der bundesweiten Pandemiebekämpfung in kurzer Zeit erheblich ausbauen musste.
Als die Beklagte von der „Datenpanne" erfuhr, informierte sie noch am gleichen Tage alle Betroffenen und meldete den Vorgang der zuständigen datenschutzrechtlichen Aufsichtsbehörde. Zusätzlich rief sie die Empfänger des irrtümlich übersandten Anhangs noch am selben Tag dazu auf, diese Daten unverzüglich zu löschen. Schließlich informierte die Beklagte noch am 00.00.0000 per Pressemitteilung auch die Öffentlichkeit über den Vorfall. Mit Schreiben vom 05.08.2021 wurde der Kläger durch die Beklagte direkt angeschrieben und über die Einzelheiten in Kenntnis gesetzt (vgl. Bl. 8 d.A.).
Mehrere auf der versandten Liste aufgeführte Personen erhielten in der Folge eine E-Mail der „F1“. Die Beklagte brachte dies den zuständigen Behörden zur Kenntnis und die entsprechende Internetseite (www. … .de) wurde mittlerweile abgeschaltet.
Der Kläger betrieb sowohl vor als auch nach dem Vorfall einen G-Account, einen J-Account und einen X-Account mit öffentlich einsehbarem Profilbild. Der Kläger veröffentlicht hier unter anderem Fotos seiner Person und postete unter dem 08.01.2022 ein Bild mit der Aufschrift „Booster ist drin“.
Mit außergerichtlichem Schreiben vom 19.08.2021 (Bl. 10 ff. d.A.) forderte der Kläger die Beklagte unter Fristsetzung bis zum 31.08.2021 zur Zahlung einer ihm gemäß § 82 Abs. 1 DSGVO zustehenden Geldentschädigung in Höhe von 20.000,00 Euro auf. Die Beklagte wies die Forderungen mit Schreiben vom 01.09.2021 unter anderem aufgrund fehlender Originalvollmachten unverzüglich zurück (vgl. Bl. 18 ff. d.A.). Zahlungen erfolgten nicht.
Der Kläger behauptet, ein Mitarbeiter der Beklagten habe die streitgegenständliche Excel-Liste vorsätzlich versandt. Hierfür spreche bereits der Beweis des ersten Anscheins. Unter dem 18.08.2021 habe er eine E-Mail der „F1“ erhalten, bei der es sich um eine sog. „Phishing-Mail“ handele, mit der weitere Daten „abgegriffen“ werden sollten oder mittels derer der Computer des Klägers gehackt werden sollte. Der Kläger ist der Auffassung, ihm stehe wegen einer schwerwiegenden Persönlichkeitsrechtsverletzung aufgrund des unstreitigen Datenschutzverstoßes der Beklagten nach § 823 Abs. 1 BGB sowie Art. 1, Abs. 1, 2 GG ein Schmerzensgeldanspruch beziehungsweise eine angemessene Geldentschädigung gegen die Beklagte zu. Dieser Anspruch sei mit 20.000,00 Euro zu bemessen, im Prozess mache er jedoch aus Kostengründen abschließend lediglich 10.000,00 Euro geltend. Zu berücksichtigen sei, dass seine Daten in die Hände Krimineller gekommen seien und mittlerweile immer mehr militante Impf-Gegner auftauchten, die auch vor Gewalttaten nicht zurückschreckten. Ferner müsse der Präventionsgedanke Beachtung finden, weshalb „Bagatellzahlungen“ von beispielsweise 1.000,00 Euro oder 2.000,00 Euro nicht in Betracht kämen.
Die geltend gemachten Rechtsanwaltsgebühren seien von der bestehenden Rechtsschutzversicherung gezahlt und er von dieser zur Geltendmachung derselben ermächtigt worden.
Der Kläger beantragt,
1.
die Beklagte zu verurteilen, an den Kläger ein Schmerzensgeld dessen Höhe in das billige Ermessen des Gerichts gestellt wird, nebst fünf Prozentpunkten über dem Basiszinssatz seit dem 01.09.2021 zu zahlen,
2.
die Beklagte zu verurteilen, an den Kläger Rechtsanwaltsgebühren in Höhe von 973,65 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 01.09.2021 zu zahlen.
Die Beklagte beantragt,
die Klage abzuweisen.
Die beklagte Stadt behauptet, es habe sich bei der Versendung der streitgegenständlichen E-Mail nebst Excel-Tabelle um ein bedauerliches Versehen eines Mitarbeiters gehandelt. Für den Kläger seien hieraus keine negativen Folgen entstanden. Eine etwaige E-Mail der „F1“, deren Erhalt zwischen den Parteien streitig ist, habe nicht auf das „Hacken des Computers“ des Adressaten abgezielt, sondern sei ein Versuch gewesen, die Betroffenen dafür zu gewinnen, ihre vermeintlichen Ansprüche gegen die Beklagte an die Firma „S“ abzutreten.
Die Beklagte ist der Auffassung, es sei zu berücksichtigen, dass der Kläger selbst personenbezogene Daten auf öffentlichen Internetportalen preisgebe. Er habe sich insbesondere sein G-Posting vom 08.01.2022 vorhalten zu lassen, mit dem er seinen Impfstatus preisgegeben habe. Sie ist weiter der Ansicht, die Haftung der Beklagten aus Art. 82 DSGVO trete als subsidiär hinter derer der sog. „F1“, jedenfalls hinter die Regelung des § 839 BGB zurück. Auch sei ihr im Hinblick auf die versehentliche Versendung kein Verschulden vorzuwerfen. Jedenfalls könne sie sich exkulpieren. Abschließend sei dem Kläger kein relevanter Schaden entstanden und der begehrte Schadensersatz sei jedenfalls übersetzt. Es fehle an einem erforderlichen schwerwiegenden Eingriff in das Persönlichkeitsrecht.
Die Beklagte führt weiter aus, auch für einen Anspruch nach Art. 82 DSGVO bedürfe es der Darlegung eines konkreten Schadens, mithin einer nachgewiesenen und nicht nur unerheblichen Beeinträchtigung, welche kausal auf einen Verstoß gegen die Vorgaben der DSGVO zur Verarbeitung personenbezogener Daten zurückzuführen sein müsse. Die Verletzungshandlung müsse zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben.
Weiter ist die Beklagte der Auffassung, der Rechtsstreit sei gemäß § 148 ZPO auszusetzen und beantragt dies. Es seien derzeit mehrere für diesen Rechtsstreit entscheidungserhebliche Rechtsfragen zur europarechtlichen Auslegung von Art. 82 DSGVO, insbesondere zum Schadenersatz und dem Umfang der sich daraus ergebenden Pflichten, im Rahmen von Vorabentscheidungsersuchen beim EuGH anhängig.
Im Übrigen wird ergänzend Bezug genommen auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie das Protokoll der mündlichen Verhandlung.
Entscheidungsgründe
Die zulässige Klage ist im tenorierten Umfang begründet, im Übrigen unbegründet.
I.
Der geltend gemachte Schadensersatzanspruch resultiert aus Art. 82 DSGVO und beläuft sich der Höhe nach auf 100,00 Euro.
Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Der Anspruch nach Art. 82 DSGVO wird zunächst nicht von § 839 BGB i.V.m. Art. 34 GG verdrängt.
Zum einen bezieht sich die beklagtenseits vorgetragene sog. Verdrängung primär auf die befreiende Haftungsübernahme des Staates beziehungsweise der jeweiligen Anstellungskörperschaft als Anspruchsgegner des Geschädigten gegenüber dem konkreten Amtsträger. Entsprechend äußert sich auch der BGH in der beklagtenseits angeführten Entscheidung (BGH, Urteil vom 06. Juni 2019 – III ZR 124/18 –, Rn. 10, juris).
Zum anderen kommt eine Verdrängung durch deutsche Vorschriften mit der Folge eines etwaigen Haftungsausschlusses aufgrund abweichender Anspruchsvoraussetzungen im Hinblick darauf, dass mit der DSGVO unmittelbar geltendes europäisches Recht vorliegt, nicht in Betracht. Diese Rechtsauffassung findet ihre Stütze auch in Rechtsprechung und Literatur. So nimmt das Landgericht Frankfurt sogar eine Sperrwirkung der DSGVO für andere deliktische Ansprüche an (LG Frankfurt, Urteil vom 18. September 2020 – 2-27 O 100/20 –, Rn. 56, juris). Das KG Berlin prüft Art. 82 DSGVO und § 839 BGB i.V.m. Art. 34 GG jedenfalls nebeneinander (KG Berlin, Beschluss vom 02. Februar 2021 – 9 W 1117/20 –, Rn. 44, juris). Auch in der Kommentarliteratur wird ein Nebeneinander gesehen (BeckOK DatenschutzR/Quaas, 38. Ed. 1.11.2021, DS-GVO Art. 82 Rn. 8).
Der Anwendungsbereich der DSGVO ist eröffnet. Es liegt jedenfalls eine nicht oder allenfalls teilweise automatisierte Verarbeitung personenbezogener Daten vor, welche in einem Dateisystem gespeichert sind, Art. 2 Abs. 1 DSGVO. Eine Ausnahme im Sinne des Abs. 2 ist weder dargetan, noch ersichtlich.
Insbesondere handelt es sich hier um die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 und Nr. 2 DSGVO. „Personenbezogene Daten" sind hiernach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. "Verarbeitung" beschreibt jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Diese Anforderungen sind beim E-Mail-Versand einer Liste mit Name, Anschrift, Geburtsdatum, Angabe des Impfstoffs, Datum der geplanten Impfung, E-Mail-Adresse und Mobilfunknummer des Klägers ohne Zweifel erfüllt.
Es liegen auch Verstöße gegen die DSGVO durch die Beklagte vor.
a)
Die Beklagte hat zunächst gegen Art. 32 (i.V.m. Art. 24, 25) DSGVO verstoßen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter nach § 32 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Dieser Schutzzweck kann zunächst nicht aufgrund der beklagtenseits dargestellten und auch für die Kammer nachvollziehbaren besonderen Situation des Betreibens eines Impfzentrums inmitten der fortwährenden pandemischen Lage mit sämtlichen, unvorhersehbaren und kurzfristiges Vorgehen erfordernden Besonderheiten, verneint werden. Ein derartiges Korrektiv ist - jedenfalls auf der hier zu prüfenden Eingriffsebene - nicht gegeben.
Im konkreten Fall bedurfte es geeigneter Schutzmaßnahmen jedenfalls gegen die versehentliche Versendung derart sensibler und umfassender Datensätze an unbefugte Dritte, insbesondere an derart viele unbefugte Dritte. Entsprechende Vorgänge hätten jedenfalls technisch eingeschränkt werden müssen. Insoweit kämen als Schutzmaßnahmen beispielsweise eine Passwortsicherung von Excel-Tabellen und/oder ein vier- bzw. sechs-Augen-Prinzip hinsichtlich der Versendung von Massen-E-Mails mit und ohne Anhänge in Betracht. Derartige Maßnahmen wären unproblematisch auch bereits vor dem 00.00.0000 möglich und der Beklagten zumutbar gewesen. Sie sind weder in erheblichem Umfang kostenträchtig, noch technisch unzumutbar aufwändig. Ob hiermit den Anforderungen des Art. 32 Abs. 1 DSGVO genügt worden wäre, kann dahinstehen, da jedenfalls im Vorfeld des hier streitgegenständlichen Vorfalls trotz hoher Sensibilität und großer Menge der Daten unstreitig keinerlei Verschlüsselung oder Anonymisierung der Daten und keine Sicherheitsmaßnahmen gegen die (versehentliche) Versendung mittels Massen-E-Mail an Unbefugte oder anderweitige Schutzmaßnahmen abseits etwaiger Mitarbeitersensibilisierungen getroffen wurden.
Dies genügt den Anforderungen des Art. 32 DSGVO im konkreten Fall nicht. Die Kammer hat dies nochmals mit Blick auf die Pandemielage im Sommer 2021 überprüft. Auch danach stellt sie aber einen Verstoß gegen Art. 32 DSGVO fest. Der Beklagten ist zuzugeben, dass sie in sehr kurzer Zeit unter hohem politischem und öffentlichem Druck Impfkapazitäten zu schaffen hatte. Hierbei musste sie in erheblichem Maße in ihre Verwaltungsprozesse eingreifen und sowohl ihrer Organisation als auch ihren Mitarbeiterinnen und Mitarbeitern ein höchstes Maß an Einsatz und Flexibilität abverlangen. In einer solchen Ausnahmesituation mag man auch den durch Art. 32 DSGVO gewährten Datenschutz kritisch überdenken. Er kann jedoch nicht ganz entfallen, weil – wie dargelegt – bereits durch einfache Maßnahmen die Versendung erheblicher Mengen personenbezogener Daten in Massen-E-Mails hätte verhindert werden müssen. Die Beklagte durfte sich dabei nicht allein auf die Erfahrungen ihrer Mitarbeiterinnen und Mitarbeiter verlassen, gerade weil diese kurzfristig und unter hoher Belastung mit ihnen unbekannten Aufgaben an ihnen nicht vertrauten Arbeitsplätzen konfrontiert waren.
b)
Auch ein Verstoß gegen Art. 5 Abs. 1 f) DSGVO liegt aufgrund des zuvor Gesagten vor. Hiernach müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit"). Dies ist vorliegend im Hinblick auf die bestehende Möglichkeit des unverschlüsselten Versands eines derart umfassenden Datensatzes an zahlreiche Dritte ohne weitergehenden Kontroll- und Sicherheitsmechanismus offensichtlich nicht erfolgt.
c)
Vor dem Hintergrund der Einordnung der Impfdaten des Klägers als Gesundheitsdaten liegt mangels Einwilligung in die Weiterleitung auch ein Verstoß gegen Art. 9 Abs. 1 DSGVO vor. Die Verarbeitung derartiger Daten ist nur unter den dort aufgeführten Ausnahmen möglich, deren Voraussetzungen weder dargetan noch ersichtlich sind.
d)
In dem Versand der E-Mails nebst angehangener Excel-Tabelle liegt schließlich ein Verstoß gegen Art. 6 Abs. 1 S. 1 a) DSGVO. Eine Datenverarbeitung ist nach der DSGVO nur dann rechtmäßig, wenn die betroffene Person gemäß Art. 6 Abs. 1 S. 1 a) DSGVO ihre Einwilligung zu der Verarbeitung gegeben hat oder eine der übrigen in Art. 6 Abs. 1 S. 1 DSGVO normierten Rechtmäßigkeitsvoraussetzungen vorliegen. Dies ist hier nicht der Fall. Unstreitig hat der Kläger nicht in die Übersendung seiner in der Tabelle enthaltenen Daten an Dritte eingewilligt. Auch anderweitige Rechtmäßigkeitsgründe sind weder dargetan, noch ersichtlich. Insbesondere fehlt es an jeglicher Erforderlichkeit der Übersendung.
Ein Verschulden der Beklagten als Verantwortliche in diesem Sinne wird nach § 82 Abs. 3 DSGVO vermutet. Hiernach wird der Verantwortliche oder der Auftragsverarbeiter von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Es besteht mithin eine Exkulpationsmöglichkeit auf Seiten der Beklagten (im Einzelnen durchaus umstritten, vgl. BeckOK DatenschutzR/Quaas, 38. Ed. 1.11.2021, DS-GVO Art. 82 Rn. 17 ff. m.w.N.).
a)
Der Beklagten ist eine Exkulpation nach Art. 82 Abs. 3 DSGVO nicht gelungen.
Die Beklagte sieht ihre Exkulpation bereits in dem Hinweis darauf, dass es sich bei dem Versand um ein Versehen eines Mitarbeiters gehandelt habe. Es bestehe die klare Anweisung, einer zu adressierenden Person keine persönlichen Daten Dritter offenzulegen, wenn dazu keine rechtliche Legitimation besteht. Trotz dessen sei es in der bestehenden Drucksituation zu dem bedauerlichen menschlichen Versagen gekommen. Dies sei der Beklagten nicht vorzuwerfen.
Die konkreten Anforderungen für den Nachweis, dass die erforderliche Sorgfalt beachtet wurde, hängen von den Umständen des Einzelfalls ab. Der Anspruchsverpflichtete kann sich nach Rechtsauffassung der Kammer entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, d.h. am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt i.S.v. § 276 Abs. 2 BGB angewendet hat. Die Grundsätze des § 278 BGB und der Mitarbeiterhaftung gelten auch in diesem Zusammenhang. Eine Entlastung setzt daher auch voraus, dass die beteiligten Mitarbeiter keinerlei Verschulden trifft (vgl. BeckOK DatenschutzR/Quaas, 38. Ed. 1.11.2021, DS-GVO Art. 82 Rn. 18, 20).
Bei der Bewertung des erforderlichen und vermuteten Verschuldens ist ferner zu beachten, dass primärer Anknüpfungspunkt vorliegend nicht das Verhalten eines einzelnen Mitarbeiters der Beklagten in Form der Versendung der streitgegenständlichen E-Mails nebst Anhang ist, sondern vielmehr die - oben bereits hinsichtlich Art. 32 und Art. 5 DSGVO herausgestellte - vorgelagerte Strukturschwäche in der Datenverwaltung des beklagtenseits geführten Impfzentrums. Der Beklagten ist die dargestellte Schutzlosigkeit der umfassenden und sensiblen Datenmengen insbesondere im Zusammenhang mit dem Versand von Massen-E-Mails vorzuwerfen.
Dies zugrunde gelegt, ist die Verantwortlichkeit der Beklagten auch bei Unterstellen ihres Vortrages gegeben. Der Darlegung der Beklagten ist insbesondere nicht zu entnehmen, dass diese „in keinerlei Hinsicht“ im Sinne des Art. 82 Abs. 3 DSGVO für den DSGVO-Verstoß verantwortlich ist. Dies insbesondere vor dem Hintergrund, dass - wie oben festgestellt - weitergehende Schutzmechanismen hätten installiert werden können und müssen. Jedenfalls die für die Haftung ausreichende Fahrlässigkeit ist hier gegeben.
b)
Auf eine - in Rechtsprechung und Literatur hoch umstrittene und dem EuGH zur Klärung vorliegende (vgl. LG Saarbrücken, EuGH-Vorlage vom 22. November 2021 – 5 O 151/19 –, Rn. 61, juris) - Exkulpationsmöglichkeit nach den Grundsätzen des im deutschen Recht verankerten § 831 Abs. 1 S. 2 BGB kommt es aufgrund des zuvor Gesagten hier nicht an. Für die Verschuldensprüfung liegt der Anknüpfungspunkt im eigenen (Organisations-)Verhalten der Beklagten und nicht in einem etwaig zugerechneten und gegebenenfalls der Exkulpation nach § 831 Abs. 1 S. 2 BGB zugänglichen Mitarbeiterverhalten und damit -verschulden. Überdies kommt eine Aushebelung der vorrangigen europäischen Haftungsnorm durch eine nationale Exkulpationsregelung, welche keinerlei Gegenstück in der europäischen Verordnung findet, dieser vielmehr fremd ist, nach Rechtsauffassung der Kammer bereits systematisch nicht in Betracht.
Dem Kläger steht aufgrund der zuvor dargestellten Haftung dem Grunde nach auch ein Schadensersatzanspruch aufgrund immateriellen Schadens zu. Materielle Schäden macht der Kläger nicht geltend.
Die Definition des immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO ist in Rechtsprechung und Literatur in den Details umstritten. Gerichte, die den immateriellen Schaden unter eine etwaig zu berücksichtigende Erheblichkeitsschwelle stellen wollen, haben diese Rechtsfrage dem EuGH vorgelegt (vgl. zum hiesigen Fall vergleichbar insbesondere LG Saarbrücken, EuGH-Vorlage vom 22. November 2021 – 5 O 151/19 –, juris). Die Beweislast für diese Voraussetzung obliegt dem Anspruchsberechtigten. Dies entspricht den allgemeinen deliktischen Voraussetzungen. Eine Beweislastumkehr ist der Norm ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens zu entnehmen (vgl. auch LG Köln, Urteil vom 03. August 2021 – 5 O 84/21 –, Rn. 27, juris; Brandenburgisches Oberlandesgericht, Beschluss vom 11. August 2021 – 1 U 69/20 –, Rn. 4, juris).
Der Kläger trägt vor, der streitgegenständliche Vorfall stelle eine „eklatante Verletzung des Rechts auf informationelle Selbstbestimmung als Teil des Persönlichkeitsrechts“ dar. Höchst sensible Daten seien - was sich in dem Erhalt einer sog. „Phishing-Mail“ gezeigt habe - in „kriminelle Hände geraten“. Er betont, dass mittlerweile „immer mehr militante Impf-Gegner auf[tauchten]“ und vor dem Hintergrund dessen die Veröffentlichung der Impfbefürwortung, der Anschrift und des vollständigen Namens des Klägers ernst zu nehmen seien. Von der aufgrund dessen angemessenen Geldentschädigung müsse „ein echter Hemmungseffekt“ ausgehen, welcher „unter Bezugnahme auf die gängige BGH-Rechtsprechung“ eine Entschädigung von 20.000,00 Euro rechtfertige, von welchen hier - aus Kostengründen – allerdings abschließend 10.000,00 Euro geltend gemacht werden.
Hierin liegt im Zusammenhang mit der für Art. 82 DSGVO zugrunde zu legenden Schadensdefinition und dem in den Erwägungsgründen verankerten Sanktionsgedanken der Vorschrift ein grundsätzlich ersatzfähiger immaterieller Schaden des Klägers. Dem tritt die Beklagte entgegen, indem sie anhand verschiedener Angriffspunkte – vor allem mit Blick auf die Selbstoffenbarung des Klägers in sozialen Netzwerken – einen Schaden gänzlich verneint.
Hinsichtlich der Schadensdefinition ist der Beklagten zuzugeben, dass grundsätzlich zwischen dem haftungsbegründenden Verstoß und dem Schadenseintritt zu unterscheiden sein dürfte. Vorliegend bedarf es jedoch keiner abschließenden Klärung der Frage, wie genau sich diese Abgrenzung definiert und inwieweit hinsichtlich des Schadenseintritts sodann eine - in Art. 82 DSGVO jedenfalls nicht ausdrücklich verankerte - Erheblichkeitsschwelle zu beachten ist. Im konkreten Fall liegt mit der Verletzung des Art. 32 DSGVO ein haftungsbegründender Verstoß vor, welcher sich unmittelbar in dem stattgehabten Datenverlust ausgewirkt hat. Die gebotene Zweiaktigkeit zwischen Verstoß und Schaden liegt hiermit bereits vor. Der Kontrollverlust ist im vorliegenden Fall endgültig und unumkehrbar, so dass er sich schon im Ansatz einer Unterscheidung zwischen „erheblich“ und „unerheblich“ entzieht. Jedenfalls ist der Datenkontrollverlust als immaterieller Schaden im Sinne des Art. 82 DSGVO zu betrachten und überschreitet jede teilweise in Rechtsprechung und Literatur vertretene, im Verordnungswortlaut jedoch nicht verankerte Erheblichkeitsschwelle.
Dafür, dass in einem unfreiwilligen Datenverlust ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegt, sprechen nicht nur die Erwägungsgründe 75 und insbesondere 85 S. 1 zur DSGVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird. In Erwägungsgrund 85 S. 1 heißt es insoweit ausdrücklich, dass „eine Verletzung des Schutzes personenbezogener Daten […] einen […] immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa den Verlust der Kontrolle über ihre personenbezogenen Daten […]“. Vor diesem Hintergrund greift auch die Argumentation der Beklagten hinsichtlich der sprachlichen Differenzen der internationalen Versionen des Erwägungsgrundes 75 nicht durch. Es ist vorherrschend Erwägungsgrund 85, der deutlich macht, dass der Verordnungsgeber den Kontrollverlust als Schaden definiert. Dafür spricht auch, dass in den meisten Rechtsordnungen mit dem Begriff des immateriellen Schadens Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden und der Europäische Gerichtshof ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt (vgl. hierzu auch OLG Düsseldorf, Urteil vom 28. Oktober 2021 – 16 U 275/20 –, Rn. 51, juris).
Hinzu kommt, dass es in Erwägungsgrund 146 S. 3 zu der DSGVO heißt, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DSGVO ist insoweit autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden kann (vgl. auch OLG Frankfurt, Urteil vom 02. März 2022 – 13 U 206/20 –, Rn. 70, juris, m.w.N., u.a. BVerfG 14.1.2021 - 1 BvR 2853/19 - Rn. 20, juris).
Gegen eine Überspitzung der Anforderungen an das Vorliegen eines Schadens und eine Verlagerung des immateriellen Schadens in eine etwaige Erheblichkeitsprüfung spricht abschließend auch Erwägungsgrund 148 zur DSGVO, welcher sich zu den zusätzlich zu einem etwaigen Schadensersatzanspruch oder anderweitig zu ergreifenden Maßnahmen in Betracht kommenden Bußgeldern und Verwarnungen verhält. Dieser stellt ausdrücklich heraus, dass Art und Schwere des Verstoßes und zahlreiche weitere namentlich erwähnte Umstände im Rahmen der Bemessung der „Geldbuße“ bzw. der Entscheidung für eine „Verwarnung“ zu berücksichtigen seien. Der dort erstmals und einzig genannten Geringfügigkeit wird keinesfalls die zwingende Konsequenz des Anspruchsausschlusses zugeordnet, sondern die Diskussion derselben auf die Rechtsfolgenseite verlagert.
Der dargestellte Schadenseintritt rechtfertigt einen Schadensersatzanspruch des Klägers nach Art. 82 DSGVO, welchen die Kammer der Höhe nach mit 100,00 Euro bemisst.
Im Rahmen der nach § 287 ZPO vorzunehmenden Schadensschätzung sind hinsichtlich des Art. 82 DSGVO allgemein die Art, Schwere und Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße, Auswirkungen für die Betroffenen sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägungen mit einzubeziehen. Nach Erwägungsgrund Nr. 146 der DSGVO soll der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Art und Weise ausgelegt werden, „die den Zielen dieser Verordnung in vollem Umfang entspricht“. Nach dem Effektivitätsprinzip (effet utile) ist insoweit auch eine abschreckende Sanktion nicht ausgeschlossen. Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben (OLG Dresden, Urteil vom 30. November 2021 – 4 U 1158/21 –, Rn. 13, juris m.w.N.; OLG Düsseldorf, Urteil vom 28. Oktober 2021 – 16 U 275/20 –, Rn. 55, juris). Bei der Ermittlung der danach angemessenen Art der Entschädigung und der Bestimmung des gegebenenfalls zuzuerkennenden Schadensersatzbetrags haben die Gerichte einen erheblichen Spielraum (vgl. OLG Düsseldorf, a.a.O., Rn. 55, juris).
Diese Grundsätze angewendet, ist nach Rechtsauffassung der Kammer im konkreten Einzelfall ein Schadensersatz in Höhe von 100,00 Euro erforderlich, aber auch ausreichend.
Im Rahmen der vorzunehmenden Schadensschätzung und -abwägung ist zu berücksichtigen, dass ohne Zustimmung des Klägers eine nicht unerhebliche Anzahl personenbezogener Daten in digitaler Form an jedenfalls 700 ihm unbekannte Personen weitergegeben wurde. Betroffen sind hier Name, Anschrift, Geburtsdatum, Angabe des Impfstoffs, Datum der geplanten Impfung, Mobilfunknummer und E-Mail-Adresse. Hierbei handelt es sich auch gerade in der Zusammenstellung um ein Datenbündel, welches eine sehr konkrete und individuelle Identifizierung des Klägers problemlos möglich macht und etwaigen Missbrauch in vielerlei Hinsicht ermöglicht. Hier kommen neben Werbe- und Phishing-Mails auch Identitätsdiebstahl, Rechnungsbestellungen und Ähnliches in Betracht.
Die Dauer des Verstoßes ist vorliegend insofern erschwerend zu berücksichtigen, als dass eine endgültige und nicht rückgängig zu machende Übersendung der Daten erfolgte. Der Datenverlust ist dauerhaft, seine grundsätzlich im Hinblick auf ein fehlendes „Haltbarkeitsdatum“ von Daten bestehende Dauerhaftigkeit jedenfalls nicht auszuschließen. Es sind insbesondere mit den Impfdaten des Klägers auch sensible und mit Art. 9 DSGVO besonders unter Schutz gestellte Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO betroffen. Eine Weitergabe an Dritte ist trotz Rückrufversuchen und Informationsanschreiben der Beklagten nicht ausgeschlossen. Auch wenn die Beklagte durch Kontaktaufnahme mit den Adressaten und Löschersuchen an diese den Versuch der Eindämmung unternommen hat, kann sie eine Verbreitung und Weitergabe hiermit weder kurz- noch langfristig verhindern.
Über die vorgenannten Gesichtspunkte des Datenverlustes selbst hinaus, sind auf der anderen Seite keine konkreten, berücksichtigungsfähigen Beeinträchtigungen ersichtlich. Der Vortrag des Klägers beschränkt sich insoweit im Wesentlichen auf den Verstoß gegen die DSGVO und den Datenverlust selbst. Eine weitergehende, konkrete Betroffenheit hat sich glücklicherweise nicht ergeben. Äußerst hypothetisch und nicht konkret schadensbegründend ist der jedenfalls angedeutete Hinweis auf militante Impfgegner und die hiermit suggerierte Gefahr körperlicher Übergriffe aufgrund Offenlegung der Impfbefürwortung des Klägers. Ferner erscheint dies auch vor dem Hintergrund der Offenlegung der eigenen Booster-Impfung über G in der Folge im Januar 2022 nicht weitergehend beeinträchtigend für den Kläger zu sein, etwa in Form von als immaterieller Schaden objektivierbaren Ängsten oder Ähnlichem. Die – behauptete – Phishing-E-Mail hätte bei der Zumessung wenig Relevanz. Mit dem Risiko unerwünschter Kontaktaufnahmen im digitalen Raum ist der Kläger wie jeder Nutzer von E-Mails und jeglicher Formen sozialer Netzwerke unabhängig von dem hier streitgegenständlichen Vorfall belastet. Dies gehört für diese Personengruppe zum allgemeinen Lebensrisiko und wird auch ansonsten im Alltag nicht als besonders belastend empfunden.
Auch wenn dem Schadensersatzanspruch des Art. 82 DSGVO abschließend in gewissem Umfang ein Abschreckungsgedanke inne wohnt, so steht dieser in seiner Bedeutung jedenfalls - so ist der entsprechende Fokus des Erwägungsgrundes 146 hierauf nach Rechtsauffassung der Kammer zu verstehen - eindeutig hinter dem Zweck des Ersatzes des entstandenen Schadens zurück. Insofern ist auch zu berücksichtigen, dass die DSGVO hier eigene Regelungen zu Bußgeldern und Verwarnungen enthält, vgl. Art. 83 DSGVO. Dort ist die Abschreckung - im Gegensatz zum Wortlaut des hier einschlägigen Art. 82 DSGVO - ausdrücklich Gegenstand des Wortlautes. Ferner erzeugt im konkreten Fall allein die mit ca. 13.000 hohe Zahl an Betroffenen auch bei einem verhältnismäßig geringfügigen Schadensersatzbetrag einen nicht unerheblichen Abschreckungseffekt.
Auf Seiten der Beklagten ist überdies der geringe Grad des Verschuldens anzuführen. Für einen Vorsatz des betroffenen Mitarbeiters bestehen überhaupt keine Anhaltspunkte. Der Klägervortrag hierzu ist völlig spekulativ. Für einen Beweis des ersten Anscheins besteht nicht ansatzweise eine rechtliche Grundlage. Zwar hat die Beklagte keine hinreichenden Schutzmaßnahmen ergriffen (vgl. Ausführungen zu Art. 32 Abs. 1 DSGVO), jedoch ereignete sich der tatsächliche Datenverlust im Rahmen einer außergewöhnlichen Drucksituation inmitten der fortwährenden Corona-Pandemie und Mitte/Ende der ersten Impfwelle. Die Beklagte war insoweit - nicht in Gänze freiwillig, sondern auf Vorgabe weisungsfähiger übergeordneter Körperschaften - mit der Zurverfügungstellung von Impfstoff und damit politisch und gesellschaftlich gewolltem und dringend benötigtem Gesundheits- und Lebensschutz betraut. Sie war insoweit gezwungen, sich einer umfassenden organisatorischen und datenschutzrechtlich empfindlichen Situation auszusetzen. Dieses Risiko hat sie in einem besonders dringlichen öffentlichen Interesse auf sich nehmen müssen. Damit diente sie auch unmittelbar dem Kläger selbst, der die Impfangebote der Beklagten gerne angenommen hat. Dies darf bei der Bemessung der Entschädigung nicht außen vor bleiben.
Eine Kapitalisierung der Daten durch die Beklagte bzw. die Verwendung für irgendwelche nicht genehmigten Werbezwecke oder ähnliches liegt unstreitig nicht vor. Die Beklagte hat nicht gezielt und zur Kommerzialisierung der Daten gehandelt. Sie hat zudem im Anschluss alles unternommen, was ihr möglich war, um zur Minderung des den betroffenen Personen entstandenen Schadens beizutragen. Sie führte eine offene Kommunikation mit sämtlichen Beteiligten und hat sich sowohl vorgerichtlich, als auch im Rahmen des Verfahrens entschuldigt. Sie hat im Übrigen bereits unmittelbar nach Bekanntwerden der Problematik schnell und ihren Möglichkeiten entsprechend reagiert und sich um Eingrenzung der Beeinträchtigungen bemüht. So meldete sie die Problematik bei der zuständigen Aufsichtsbehörde, rief die Empfänger des irrtümlich übersandten Anhangs an und bat um Löschung der Excel-Liste und informierte per Pressemitteilung die Öffentlichkeit. Die Betroffenen, unter anderem der Kläger, erhielten ferner ein persönliches Informationsschreiben. Ähnliche frühere Datenschutzverstöße durch die Beklagte sind weder dargetan noch ersichtlich.
Der Kläger wird sich - entgegen der Auffassung der Beklagten - nur allenfalls in sehr begrenztem Umfang entgegenhalten lassen müssen, dass er einen Teil der nunmehr an Dritte versandten Daten bereits im Vorhinein selbst einer unüberschaubaren Öffentlichkeit im Internet preisgegeben hat. Der Kläger veröffentlichte lediglich sein Geburtsdatum auf seiner öffentlich einsehbaren G-Seite. Nicht umfasst sind hiervon jedenfalls der Impfstatus, die Adresse, die E-Mailadresse und die Mobilfunknummer des Klägers. Bei den zuletzt genannten Daten handelt es sich allerdings im Wesentlichen - und hierauf weist die Beklagte zu Recht hin - um Daten, welche sämtlich Gegenstand regelmäßiger Preisgabe sind. So müssen diese Daten in dieser Kombination (mit Ausnahme des Impfstatus) mittlerweile bei jeder Website-Anmeldung, jeder Online-Shop-Nutzung und in vielen weiteren Alltagssituationen angegeben werden. Ferner kann die Adresse einer Person stets über eine einfache Melderegisterauskunft erfragt werden. Eines berechtigten oder rechtlichen Interesses bedarf es hierfür nicht (vgl. nur beispielhaft für die Stadt F https://...). Auch hinsichtlich der Mobiltelefonnummer hat der Bekanntheitsgrad der eigenen Nummer in Zeiten diverser Chat-Programme mit Gruppenfunktion bei offengelegten Nummern sämtlicher Teilnehmenden und gleichzeitigem Rückgang der Festnetztelefonie und Ablösung durch die alleinige Nutzung des Mobilgerätes zugenommen. Abzugrenzen sind die bekannt gemachten Daten ferner von weit intimeren, sensibleren Daten wie beispielsweise Kontodaten, Kreditkartennummern, Benutzernamen, Passwörtern, PINs, spezifischere Gesundheitsdaten, Sozialversicherungsnummern oder Steuerdaten.
Betreffs des Impfstatus hat sich die Beeinträchtigung durch den Verlust dieser Informationen im Laufe der Zeit überdies stetig reduziert. Während es zu Beginn der Impfungen in Deutschland noch über unterschiedliche und teilweise unübersichtliche Priorisierungen unklar war, wer überhaupt Zugang zu Impfungen hat und geimpft ist, war es mittlerweile bereits seit geraumer Zeit lange üblich, den Impfstatus - digital auf dem Mobiltelefon gespeichert - bei diversen Gelegenheiten im Alltag ungefragt und zusammen mit dem Personalausweis vorzuzeigen. Ferner liegt die Impfquote in Deutschland mittlerweile bei über 75 %. Überdies ist zu berücksichtigen, dass die Übersendung an ebenfalls Impfwillige erfolgte und damit als weniger problematisch zu beurteilen ist, als in anderen Kreisen und der allgemeinen Öffentlichkeit.
Ein weiterer Abwägungsgesichtspunkt ist, dass es sich nicht um die gezielte und isolierte Weitergabe der klägerischen Daten allein, sondern um die Weiterleitung einer umfassenden und damit auch unübersichtlichen Liste mit 13.000 Datensätzen ohne konkreten Hinweis auf bestimmte Personen handelt. Diese wurde ferner nicht „frei“ einem unbestimmten Personenkreis preisgegeben, sondern 700 für Impftermine angemeldeten, mithin gegenüber der Beklagten ebenfalls bekannten Privatpersonen übersandt. Der Umfang dieser Liste erschwert jedenfalls den hier auf Adressatenseite stehenden Privatpersonen die unmittelbare Individualisierung, erfordert jedenfalls gezieltes Vorgehen zur Durchforstung dieser unüberschaubaren Datenmenge. Die Tatsache, dass diese Liste allerdings „flüchtig“ ist und auch an kommerzielle Datenverwerter weitergegeben werden könnte, ist durch die Entschädigung hinreichend abgedeckt.
7.
Es bedarf abschließend weder einer Vorlage dieser Sache zum Gerichtshof der Europäischen Union nach Art. 267 AEUV, noch einer Aussetzung des Verfahrens entsprechend § 148 ZPO aufgrund bereits erfolgter Vorlagen zu Art. 82 DSGVO. Vorlegen kann jedes Gericht nach Art. 267 AEUV, sofern über die Auslegung der europäischen Verträge oder die Gültigkeit und die Auslegung der Handlungen der Organe, Einrichtungen oder sonstigen Stellen der Union zu entscheiden ist. Eine Vorlagepflicht besteht insoweit nur für Verfahren bei Gerichten, deren Entscheidungen selbst nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können. Unabhängig von der Frage, ob dem hiesigen Rechtsstreit eine vorlagefähige Frage zugrunde liegt, ist die Entscheidung jedenfalls berufungsfähig. Eine Vorlagepflicht besteht nicht. Im Übrigen sind die Rechtsfragen, die Gegenstand der bisherigen Vorlagen sind, für die Entscheidung der Kammer nicht tragend.
Ein weitergehendender Schadensersatzanspruch resultiert auch aus keiner anderen Anspruchsgrundlage, insbesondere nicht aus dem deutschen Amtshaftungsrecht. Für eine Haftung nach § 839 BGB i.V.m. Art. 34 GG bzw. i.V.m. Art. 1 Abs. 1 GG, Art. 2 Abs. 1 GG fehlt es jedenfalls an einem ersatzfähigen Schaden auf Seiten des Klägers.
Während die Rechtsfolge des § 82 Abs. 1 DSGVO gerade für den Fall von Verstößen gegen die Vorschriften der DSGVO normiert ist, findet im Rahmen des § 839 Abs. 1 BGB das allgemeine Schadensrecht Anwendung. Inhalt und Umfang des Schadensersatzes bestimmen sich nach den allgemeinen Vorschriften der §§ 249 bis 255 BGB und §§ 842 bis 846 BGB. Der Schadensersatzanspruch schließt bei immateriellen Schäden auch Schmerzensgeld nach § 253 Abs. 2 BGB ein. Der zu leistende Schadensersatz soll diejenige Vermögenslage herstellen, die bei pflichtgemäßem Handeln des Beamten eingetreten wäre, das heißt jeder durch die Amtspflichtverletzung adäquat verursachte Vermögensschaden, der sich aus einem Vergleich der Vermögenslage besteht, die infolge der Amtspflichtverletzung und die ohne die Amtspflichtverletzung entstanden ist (BeckOK BGB/Reinert, 61. Ed. 1.2.2022, BGB § 839 Rn. 203, 204).
Ist wegen einer Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung Schadensersatz zu leisten, kann nach § 253 Abs. 2 BGB auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld gefordert werden. Auf den Erwerb immaterieller Schäden haftet der Schädiger nur Schadensersatz nach § 253 Abs. 2 BGB, wenn er durch Verwirklichung des haftungsbegründenden Tatbestands eines der in der Vorschrift abschließend aufgezählten Rechtsgüter kausal und schuldhaft verletzt hat (BeckOGK/Brand, 1.8.2021, BGB § 253 Rn. 32). Vorliegend kommt jedoch einzig eine Persönlichkeitsrechtsverletzung in Betracht. Das allgemeine Persönlichkeitsrecht ist jedoch kein Schutzgut im Sinne des § 253 Abs. 2 BGB. Anspruchsgrundlage für den Ersatz immaterieller Schäden aufgrund einer Verletzung des Persönlichkeitsrechts bleibt daher im Deliktsrecht § 823 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, Art. 2 Abs. 1 GG (BeckOGK/Brand, 1.8.2021, BGB § 253 Rn. 39) beziehungsweise im konkreten Fall gegebenenfalls § 839 BGB i.V.m. Art. 34 GG i.V.m. Art. 1 Abs. 1 GG, Art. 2 Abs. 1 GG.
Schadensersatz für immaterielle Einbußen wird hiernach nur geschuldet, wenn ein „schwerwiegender Eingriff“ in das Persönlichkeitsrecht vorliegt. Der Begriff des „schwerwiegenden Eingriffs“ ist in der Rechtsprechung in der Vergangenheit mit verschiedenem Inhalt aufgefüllt worden. Besonders wichtig, aber nicht unerlässlich, ist eine erhebliche Bedeutung und Tragweite des Eingriffs im Sinne einer schweren Verletzung. Dabei kann es – vor allem bei Verletzungshandlungen in der Presse und im Internet – auch auf die Anzahl der Kenntnisnahmen ankommen. Regelmäßig muss eine weitere Komponente hinzukommen. Diese kann im Maß des Verschuldens des Handelnden liegen oder in dessen Anlass und Beweggrund, in der Fortdauer der Beeinträchtigung oder – bei physischen Beeinträchtigungen – in der Stärke und Heftigkeit von Schmerzen (vgl. BeckOGK/Brand, 1.8.2021, BGB § 253 Rn. 40 m.w.N.).
Bei Geltendmachung einer Geldentschädigung für immaterielle Nachteile wegen einer Verletzung des Persönlichkeitsrechts über § 839 BGB fasst beispielsweise das KG Berlin insoweit überzeugend zusammen, dass eine derartige Geldentschädigung nur zu gewähren ist, wenn es sich um eine schwere Persönlichkeitsverletzung handelt und die erlittene Beeinträchtigung sich nicht auf andere Weise befriedigend ausgleichen lässt. Ob ein derart schwerer Eingriff in den Eigenwert der Persönlichkeit angenommen werden kann, ist aufgrund der gesamten Umstände des Einzelfalles zu beurteilen. Hierbei sind besonders die Art und Schwere der Beeinträchtigung sowie der Grad des Verschuldens, ferner Anlass und Beweggrund des Handelns zu berücksichtigen (KG Berlin, Beschluss vom 02. Februar 2021 – 9 W 1117/20 –, Rn. 44, juris m.w.N.).
Vorliegend fehlt es an einem solchen „schwerwiegenden Eingriff“ in das Persönlichkeitsrecht des Klägers in dem vorgenannten Sinne. Dies insbesondere mit Blick auf die seitens des Kammergerichts herausgestellten Kriterien und die restriktive Handhabung von Schadensersatz für immaterielle Schäden im deutschen Recht. Diesem wohnt insbesondere nicht der in der europäischen Anspruchsgrundlage verankerte Sanktionsgedanke inne. Es kann insoweit auf die vorherigen Ausführungen zum Vorliegen eines immateriellen Schadens verwiesen werden, welche auf europäischer Ebene ausreichen, dem deutschen Schadensersatzrecht jedoch nicht genügen.
III.
Der Zinsanspruch auf die Hauptforderung war auf die Rechtshängigkeitszinsen nach §§ 288 Abs. 1, 291 BGB zu beschränken. Eine darüber hinausgehende vorgerichtliche Mahnung zur Verzugsbegründung hat der insoweit darlegungs- und beweisbelastete Kläger nicht dargetan. Vielmehr ist die unstreitig erfolgte vorgerichtliche Zahlungsaufforderung durch den bereits vorgerichtlich tätigen Prozessbevollmächtigten nach unstreitig gebliebenem Beklagtenvortrag mangels Vorlage einer Originalvollmacht unverzüglich zurückgewiesen worden. Mithin ist die als empfangsbedürftige, geschäftsähnliche Willensäußerung zu qualifizierende Mahnung (vgl. BeckOK BGB/Lorenz, 61. Ed. 1.2.2022, BGB § 286 Rn. 23) in entsprechender Anwendung des § 174 BGB unwirksam.
Hinsichtlich der geltend gemachten Rechtsanwaltskosten scheitert der Anspruch an der auf Bestreiten der Beklagten nicht zur Überzeugung der Kammer unter Beweis gestellten Aktivlegitimation des Klägers. Ein etwaig bestehender Ersatzanspruch ist zunächst gemäß § 86 Abs. 1 VVG auf die Rechtsschutzversicherung übergegangen (vgl. beispielhaft LG Kleve, Urteil vom 22. März 2016 – 4 O 74/15 –, Rn. 16, juris). Eine Legitimation der Geltendmachung dieses Anspruchs seitens der B AG hat der Kläger zwar behauptet und das vorgelegte Dokument (Bl. 141 d.A.) enthält auch den Passus „Es ist zulässig, dass unser Kunde diesen Anspruch im eigenen Namen geltend macht (vgl. LG Bremen, RVGreport 05, S. 359; OLG Köln, JurBüro 03, S. 468)“. Die Beklagte weist jedoch zu Recht mit Schriftsatz vom 26.04.2022 darauf hin, dass nicht erkennbar ist, dass es sich bei diesem Dokument um die behauptete „Kostenzusage vom 20.10.2021“ handelt. Der eingereichten Seite ist weder ein nachvollziehbarer Bezug zum hiesigen Kläger, noch zum hiesigen Sachverhalt, geschweige denn einer konkreten Forderung zu entnehmen. Mithin bleibt zu Lasten des darlegungs- und beweisbelasteten Klägers offen, ob er von seiner Rechtsschutzversicherung zur Geltendmachung der vorgerichtlichen Rechtsanwaltsgebühren ermächtigt wurde, deren Höhe sich hier überdies auf den Gebührenstreitwert des tatsächlich geschuldeten Schadensersatzes von 100,00 Euro zu richten hätte.
Eines Hinweises bedurfte es insoweit nicht, da dieser Umstand zum einen beklagtenseits mehrfach gerügt wurde und zum anderen eine Nebenforderung betrifft, § 139 Abs. 2 S. 1 ZPO.
IV.
Die prozessualen Nebenentscheidungen beruhen auf §§ 92 Abs. 2 Nr. 1, 708 Nr. 11, 709, 711 ZPO.
Nach § 92 Abs. 2 Nr. 1 ZPO kann das Gericht der einen Partei die gesamten Prozesskosten auferlegen, wenn die Zuvielforderung der anderen Partei verhältnismäßig geringfügig war und keine oder nur geringfügig höhere Kosten veranlasst hat. Wird der Beklagte nur verhältnismäßig geringfügig verurteilt und im Übrigen die Klage abgewiesen, können auch dem Kläger die gesamten Prozesskosten auferlegt werden, wenn der Betrag der Verurteilung allenfalls geringfügige Kosten verursacht hat (vgl. Musielak/Voit/Flockenhaus, 19. Aufl. 2022, ZPO § 92 Rn. 6 m.w.N.).
Letzteres ist hier der Fall. Die Verurteilung der Beklagten beläuft sich auf lediglich 1 % des gestellten Klageantrages, mithin einen verhältnismäßig geringfügigen Teil und hat zudem jedenfalls keine mehr als geringfügig höheren Kosten verursacht.
V.
Die Berufung war zuzulassen.
Die Rechtssache hat grundsätzliche Bedeutung und es besteht das Erfordernis einer Berufungsentscheidung zur Fortbildung des Rechts bzw. zur Sicherung einer einheitlichen Rechtsprechung, § 511 Abs. 4 S. 1 ZPO. Dies ergibt sich sowohl aus der Vielzahl der bereits anhängigen, aber auch potentiellen weiteren Verfahren, als auch aus den zahlreichen in Rechtsprechung und Literatur kontrovers diskutierten Definitions- und Auslegungsfragen hinsichtlich der Anspruchsgrundlage des Art. 82 DSGVO. Es bedarf insoweit einer obergerichtlichen Entscheidung über die vorliegende Fallkonstellation.