Verstoß: Unerlaubte Datenweiterleitung von Gesundheitsdaten
-
BeschreibungDurch ein Versehen wurden eine Excel-Liste mit Patienten eines Impfzentrums und deren Name, Anschrift, Geburtsdatum, vorgesehener Impfstoff und Erst-/Zweitimpfung an 1200 Empfänger verschickt.
-
AktenzeichenOLG Hamm, Urteil vom 20.01.2023 - 11 U 88/22
-
Kategorie(n)
-
Betrag100 €
Tenor
Die Berufungen des Klägers und der Beklagten gegen das am 02.06.2022 verkündete Urteil der 1. Zivilkammer des Landgerichts Essen werden zurückgewiesen.
Der Kläger trägt die Kosten des Berufungsverfahrens.
Dieses und das angefochtene Urteil sind vorläufig vollstreckbar. Beide Parteien können eine Vollstreckung aus den Urteilen durch Sicherheitsleistung in Höhe von 110 Prozent des aufgrund des jeweiligen Urteils vollstreckbaren Betrages abwenden, wenn nicht die jeweils andere Partei vor der Vollstreckung Sicherheit in Höhe von 110 Prozent des jeweils zu vollstreckenden Betrages leistet.
Die Revision wird zugelassen.
Gründe
I.
Der Kläger verlangt immateriellen Schadensersatz aufgrund eines Verstoßes gegen den Datenschutz, insbesondere gegen Vorschriften der VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung – (im Folgenden: DSGVO).
Die Beklagte betrieb im Jahr 2021 ein Impfzentrum in A, in dem Impfungen gegen das Coronavirus SARS-CoV-2 durchgeführt wurden. Aufgrund einer Änderung der Öffnungszeiten des Impfungszentrums war es erforderlich geworden, die Termine von 1.200 Bürgerinnen und Bürgern zu verschieben, worüber diese am 00.00.2021 mittels einer E-Mail informiert werden sollten.
Im Impfzentrum war eine aus Mitarbeitern der Beklagten bestehende Einheit mit der Terminverwaltung betraut, die am 00.00.2021 aus acht Personen bestand. Nach dem Vortrag der Beklagten waren die Mitarbeiter angehalten, E-Mails nur unter Wahrung eines Vier-Augen-Prinzips zu versenden und beim Versand von E-Mails an mehrere Empfänger die Bcc-Funktion zu nutzen, um gegenüber den Empfängern andere Adressaten nicht offenzulegen. Auch das Einfügen der E-Mail-Adressen in das Bcc-Feld und die Kontrolle von Text und Empfängerkreis vor dem Versand einer E-Mail erfolgte unter Wahrung des Vier-Augen-Prinzips.
Die Daten der zu impfenden Personen und deren Termine wurden in einem von der Kassenärztlichen Vereinigung Nordrhein eingerichteten und betriebenen Portal vorgehalten. Die für das Impfzentrum tätigen Mitarbeiter der Beklagten konnten mittels Benutzername und Passwort auf dieses Portal zugreifen, Terminbuchungen einsehen und als Excel-Tabellen exportieren. Da ein Versand von E-Mails aus dem Portal für sie technisch nicht möglich war, musste zur Information über die geänderten Öffnungszeiten zunächst eine Excel-Tabelle mit den Daten der von der Terminverlegung betroffenen Personen von einem Mitarbeiter der Beklagten aus dem Portal exportiert und auf einem Rechner der Beklagten gespeichert werden. Sodann waren die von den geänderten Öffnungszeiten betroffenen Personen herauszufiltern und deren E-Mail-Adressen herauszukopieren.
Nach Einfügen des Informationstextes in die E-Mail und der E-Mail-Adressen in das Bcc-Feld sollte der Versand der E-Mail aus dem Sammelpostfach „Mail01“ erfolgen, schlug jedoch aus nicht bekannten Gründen fehl. Daher wurde die vorbereitete E-Mail von zwei mit der Bearbeitung befassten Mitarbeitern – so die Beklagte – mitsamt der Excel-Liste als Anhang an die dienstliche E-Mail-Adresse eines weiteren oder – nach den Angaben der Beklagten in der Stellungnahme vom 21.12.2022 zum Berichterstattervermerk zur Senatssitzung vom 09.12.2022 – eines in der Sache bereits tätigen Mitarbeiters der Beklagten versandt, um den Versand von dessen dienstlichem Rechner durchzuführen. Nach erneutem Einfügen der E-Mail-Adressen, die der angehängten Excel-Datei entnommen wurden, in das Bcc-Feld konnte der Versand der E-Mail nunmehr von dem anderen Rechner erfolgreich angestoßen werden. Da allerdings vor dem Absenden der Anhang nicht entfernt worden war, wurde auch die nicht durch ein Passwort vor einem einfachen Zugriff geschützte Excel-Datei als Anhang an die 1200 Empfänger versandt. Unmittelbar nach Versand der E-Mail wurde der Fehler bemerkt und die versandte E-Mail zurückgerufen, was in 500 Fällen erfolgreich war.
Die Excel-Datei enthielt personenbezogene Daten von rund 13.000 Personen, die einen Termin zur Durchführung einer Impfung im von der Beklagten betriebenen Impfzentrum gebucht hatten. Neben Vor- und Nachname, Anschrift und Geburtsdatum waren Angaben zum vorgesehenen Impfstoff und zur Frage enthalten, ob es sich um die erste oder zweite Impfung handelte. Soweit die Personen bei der Terminbuchung auch eine Telefonnummer und/oder eine E-Mail-Adresse angegeben hatten, waren auch diese Daten in der Datei enthalten. In Bezug auf den Kläger gab die Liste seinen Vor- und Nachnamen, seine Anschrift, sein Geburtsdatum, seine Mobilfunknummer, seine E-Mailadresse, den Impfstoff für die beabsichtigte zweite Impfung und das Datum der geplanten Impfung an.
In sämtlichen Fachbereichen der Beklagten besteht die Anweisung, einer zu adressierenden Person keine persönlichen Daten Dritter offenzulegen, wenn dazu keine rechtliche Legitimation besteht. In Ziffer 5.2.2 der Dienst- und Geschäftsordnung für die Beklagte (DiGO) ist bestimmt:
„Denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren.“
Noch am 00.00.2021 rief die Beklagte die Empfänger des übersandten Anhangs auf, diese Daten unverzüglich zu löschen und informierte per Pressemitteilung die Öffentlichkeit über den Vorfall. Ferner meldete die Beklagte den Vorfall der zuständigen Aufsichtsbehörde. Mit Schreiben vom 05.08.2021 informierte sie den Kläger über den Vorgang sowie die konkret hinsichtlich seiner Person weitergegebenen Daten und sprach eine Entschuldigung aus. Zu den Folgen teilte die Beklagte mit, dass nach „Einschätzung des Datenschutzes“ ein geringes Risiko für einen möglichen Missbrauch der Daten bestehe. Ferner unterrichtete die Beklagte den Kläger unter anderem über die von ihr zur Vermeidung künftiger Vorfälle ergriffenen Maßnahmen, wozu unter anderem die standardmäßige Sicherung von Excel-Tabellen per Kennwort vor einfachen Zugriffen gehöre.
Mit Rechtsanwaltsschreiben vom 19.08.2021 verlangte der Kläger gegenüber der Beklagten wegen der aus dem Datenschutzverstoß folgenden, aus seiner Sicht gravierenden Persönlichkeitsrechtsverletzung eine Entschädigung in Höhe von 20.000,00 Euro.
Mit Rechtsanwaltsschreiben vom 01.09.2021 bat die Beklagte zunächst um den Nachweis ordnungsgemäßer Bevollmächtigung und teilte darüber hinaus mit, dass vorbehaltlich dieses Nachweises ein Anspruch unter keinem rechtlichen Gesichtspunkt bestehe.
Der Kläger meint, der Vorfall stelle eine schwerwiegende Verletzung seines Rechts auf informationelle Selbstbestimmung als Teil des Persönlichkeitsrechts dar. Gegen ein Verschulden der Beklagten bestünden keine ernsthaften Bedenken; ein derartiger Vorfall dürfe schlichtweg nicht vorkommen. Der Verstoß sei derart massiv, dass reine Fahrlässigkeit eher auszuschließen sei; vielmehr spreche der Beweis des ersten Anscheins für eine vorsätzliche Begehungsweise aus dem Bereich der Mitarbeiter der Beklagten.
Entgegen der durch die Beklagte mit Schreiben vom 05.08.2021 geäußerten Einschätzung bestünde auch nicht lediglich ein geringes Risiko für einen möglichen Missbrauch der Daten. So habe der Kläger – wie auch andere Betroffene – am 18.08.2021 gezielt eine E-Mail einer angeblichen „Europäischen Zentrale für Verbraucherschutz“ erhalten, die angebliche Möglichkeiten für eine Entschädigung aufzeige. Es habe sich hierbei um eine sogenannte Phishing-Mail gehandelt, mit der weitere Daten des Klägers hätten „abgegriffen“ oder sein PC hätte „gehackt“ werden sollen.
Zudem tauchten immer mehr militante Impfgegner auf, die auch vor Gewalttaten nicht zurückschreckten, weshalb der Kläger den Vorfall überaus ernst nehme. Durch diesen seien die Befürwortung der Corona-Impfung, der vollständige Name des Klägers und seine Anschrift unter anderem auch Kriminellen bekannt geworden.
In jedem Fall sei es am 00.00.2021 zu einem Kontrollverlust des Klägers über die streitgegenständlichen Daten gekommen.
Dass der Kläger selbst sich auf seinem Profil bei Facebook als Befürworter einer Impfung dargestellt habe, stehe dem Anspruch nicht entgegen. Insbesondere der Post des Klägers mit der Bemerkung „Booster ist drin“ sei völlig unschädlich. Einerseits besage die Aussage allein rein gar nichts; andererseits fehlten jegliche Angaben zum genauen Impfserum und zu weiteren Daten. Insbesondere seien die mit E-Mail vom 00.00.2021 bekannt gemachten Daten wie Anschrift, Geburtsdatum, Telefonnummer, E-Mail-Adresse, gewählter Impfstoff und Anzahl der Impfungen nicht über sein Facebook-Profil bekannt gemacht worden. Darüber hinaus datiere der Post vom 08.01.2022.
Der Kläger meint, er könne aufgrund der Bekanntmachung seiner personenbezogenen Daten eine Entschädigung von 10.000,00 Euro beanspruchen. Dieser Betrag sei auch im Hinblick auf den Abschreckungseffekt, der von einer Entschädigung ausgehen müsse, geboten.
Zudem könne er Ersatz vorgerichtlicher Rechtsanwaltskosten verlangen. Diese Kosten seien durch die Rechtsschutzversicherung des Klägers gezahlt worden, die ihn zu deren Geltendmachung aktivlegitimiert habe.
Der Kläger hat – sinngemäß – beantragt,
die Beklagte zu verurteilen, an ihn ein Schmerzensgeld, dessen Höhe in das billige Ermessen des Gerichts gestellt wird, nebst fünf Prozentpunkten über dem Basiszinssatz seit dem 01.09.2021 zu zahlen;
die Beklagte zu verurteilen, an ihn Rechtsanwaltsgebühren in Höhe von 973,65 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 01.09.2021 zu zahlen.
Die Beklagte hat beantragt,
die Klage abzuweisen.
Sie hat behauptet, dass sich aus dem Vorfall keinerlei negative Folgen für den Kläger ergeben hätten, die einen immateriellen Schaden begründen könnten. Die vom Kläger behauptete Sorge, plötzlich Opfer von „Phishing-Mails“ zu werden oder ins Fadenkreuz militanter Impfgegner zu geraten, sei weder für sich genommen eine schadensbegründende Folge, noch sei dieser Vortrag überhaupt glaubhaft. Die erhaltene E-Mail vom 18.08.2021 habe offensichtlich nicht auf das Hacken des Computers des Klägers abgezielt, sondern darauf, die Empfänger dafür zu gewinnen, vermeintliche Ansprüche gegen die Beklagte an die Firma B abzutreten.
Zudem sei der Kläger überaus freimütig mit seinen personenbezogenen Daten umgegangen und habe insbesondere seinen Impfstatus selbst im Internet veröffentlicht. So habe er auf der Plattform Facebook bekannt gemacht, dass er seit dem 08.01.2022 „geboostert“ sei. Ferner sei der Kläger auf Messengerdienst01 aktiv und unterhalte unter seiner Mobilfunknummer ein frei einsehbares Messengerdienst02-Konto.
Im Übrigen hafte die Beklagte allenfalls gemäß § 839 BGB, der als Sonderregelung für den gesamten Bereich der Staatshaftung etwaige Ansprüche nach Art. 82 DSGVO verdränge. Insoweit komme im Hinblick auf § 839 Abs. 1 S. 2 BGB allenfalls eine subsidiäre Haftung der Beklagten in Betracht; primär habe sich der Kläger an die Europäische Zentrale für Verbraucherschutz zu halten.
Ein Verstoß gegen die DSGVO liege im Übrigen nicht vor. Insbesondere sei nicht erforderlich gewesen, die versehentlich versendete Liste passwortgeschützt zu speichern, da diese ausschließlich internen Zwecken gedient habe und nur von für diese Zwecke eingesetzten Mitarbeitern habe eingesehen werden können. Ein Versand der Liste sei hingegen zu keinem Zeitpunkt vorgesehen gewesen und lediglich aufgrund eines Versehens erfolgt.
Für eine Haftung der Beklagten nach § 823 Abs. 1 BGB oder Art. 82 DSGVO fehle es zudem am Verschulden. Der Versand der Liste beruhe vielmehr auf einem bedauerlichen Fehler eines Mitarbeiters der Beklagten. Bei der Beklagten bestehe die klare Anweisung, keine persönlichen Daten Dritter offenzulegen, soweit keine rechtliche Legitimation bestehe. Auch seien die mit der Organisation des Impfungszentrums und der Terminvergabe betrauten Mitarbeiter der Beklagten im Hinblick auf den Umgang mit den Daten der Empfänger gezielt ausgewählt und geschult. Daher führe das bedauerliche menschliche Versagen in dieser speziellen Drucksituation dazu, dass sich die Beklagte kein Verschulden vorwerfen lassen müsse. Zwar könne auch ein Versehen ein Verschulden in Form leichter Fahrlässigkeit begründen. Dieses liege aber lediglich in der Person des betreffenden Mitarbeiters begründet, für dessen Verhalten sich die Beklagte gemäß § 831 Abs. 1 S. 2 BGB exkulpieren könne.
Auch ein – für einen Amtshaftungsanspruch erforderlicher – schwerwiegender Eingriff in das Persönlichkeitsrecht des Klägers liege nicht vor.
Schließlich fehle es an einem kausalen Schaden. Mit Ausnahme der angeblichen Auswirkungen der erhaltenen E-Mail der Europäischen Zentrale für Verbraucherschutz mache der Kläger keinerlei weiteren Angaben zu etwaigen negativen Folgen der Datenpanne. Insbesondere reiche die bloße Befürchtung von Nachteilen aufgrund einer möglichen unbefugten Nutzung von Daten, eine individuell empfundene Unannehmlichkeit oder ein angeblicher Kontrollverlust über die Daten nicht aus. Soweit der Kläger vortrage, die Daten könnten zum Identitätsdiebstahl genutzt werden, sei dies lediglich ein abstraktes und nicht sonderlich wahrscheinliches Risiko. Gleiches gelte für vermeintliche Phishing-Nachrichten oder fernliegende Konfrontationen mit Impfgegnern.
Schließlich stehe die Höhe des geltend gemachten Anspruchs außer Verhältnis zum behaupteten Verstoß. Insoweit sei zu berücksichtigen, dass überwiegend die Sozialsphäre des Klägers berührende Daten betroffen seien, es sich um ein bedauerliches Versehen einer Einzelperson in einer absoluten Ausnahmesituation gehandelt habe und die Beklagte alles in ihrer Macht stehende unternommen habe, um etwaige Risiken so gering wie möglich zu halten.
Darüber hinaus seien derzeit mehrere für den vorliegenden Rechtsstreit entscheidungserhebliche Rechtsfragen zur europarechtlichen Auslegung von Art. 82 DSGVO im Rahmen von Vorabentscheidungsersuchen im Sinne von Art. 267 AEUV beim EuGH anhängig. Vor diesem Hintergrund sei das Verfahren gemäß § 148 ZPO bis zu einer Entscheidung des EuGH auszusetzen.
Wegen der weiteren Einzelheiten des zugrunde liegenden Sachverhalts und des beiderseitigen Sachvortrages wird auf die zwischen den Parteien erstinstanzlich gewechselten Schriftsätze nebst Anlagen sowie den Tatbestand des erstinstanzlichen Urteils des Landgerichts Essen vom 02.06.2022 Bezug genommen.
Mit am 02.06.2022 verkündetem Urteil hat das Landgericht die Beklagte unter gleichzeitiger Zulassung der Berufung zur Zahlung von 100,00 Euro nebst Zinsen verurteilt und die Klage im Übrigen abgewiesen.
Der Anspruch des Klägers folge, so das Landgericht, aus Art. 82 DSGVO, der nicht durch § 839 BGB in Verbindung mit Art. 34 GG verdrängt werde. Denn eine Verdrängung unmittelbar geltenden europäischen Rechts durch nationale Vorschriften mit der Folge eines etwaigen Haftungsausschlusses komme nicht in Betracht.
Der Anwendungsbereich der DSGVO sei eröffnet und es lägen auch Verstöße durch die Beklagte vor.
Die Beklagte habe gegen Art. 32 DSGVO verstoßen. Denn es hätte geeigneter Schutzmaßnahmen jedenfalls gegen die versehentliche Versendung der sensiblen und umfassenden Datensätze bedurft. Eine Passwortsicherung der Excel-Tabelle und/oder ein Vier- bzw. Sechs-Augen-Prinzip bei Versendung derartiger Massen-E-Mails seien in Betracht gekommen. Derartige Maßnahmen wären unproblematisch möglich und der Beklagten zumutbar gewesen, da sie nicht mit erheblichen Kosten oder unzumutbarem technischen Aufwand verbunden gewesen wären.
Zudem liege ein Verstoß gegen Art. 5 Abs. 1 Buchst. f DSGVO vor, da personenbezogene Daten nicht in einer Weise verarbeitet worden seien, die eine angemessene Sicherheit dieser Daten gewährleistet hätten, einschließlich eines Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische oder organisatorische Maßnahmen.
Da es sich bei den betroffenen Daten des Klägers auch um Gesundheitsdaten handele, liege mangels Einwilligung in die Weiterleitung auch ein Verstoß gegen Art. 9 Abs. 1 DSGVO vor.
Durch den Versand sei schließlich gegen Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO verstoßen worden, da es an einer Einwilligung des Klägers oder einer sonstigen Rechtmäßigkeitsvoraussetzung fehle.
Das Verschulden der Beklagten werde nach Art. 82 Abs. 3 DSGVO vermutet; eine Exkulpation sei ihr nicht gelungen. Eine Entlastung setze voraus, dass die beteiligten Mitarbeiter keinerlei Verschulden treffe. Ferner sei zu beachten, dass primärer Anknüpfungspunkt nicht das Verhalten eines einzelnen Mitarbeiters der Beklagten sei sondern vielmehr die Strukturschwäche in der Datenverwaltung des von der Beklagten geführten Impfzentrums, die auch den Verstoß gegen Art. 32 DSGVO begründe. Damit sei auch bei Unterstellung des Vortrags der Beklagten deren Verantwortlichkeit gegeben. Denn es sei nicht erkennbar, dass die Beklagte in keinerlei Hinsicht für den Verstoß verantwortlich sei, zumal weitergehende Schutzmechanismen hätten installiert werden können und müssen. Da Anknüpfungspunkt die mangelhafte Organisation der Beklagten und nicht das Verhalten eines ihrer Mitarbeiter sei, komme es auf die – rechtlich umstrittene – Exkulpationsmöglichkeit nach den Grundsätzen von § 831 Abs. 1 S. 2 BGB nicht an. Darüber hinaus komme eine Aushebelung einer europarechtlichen Haftungsnorm durch eine dem europäischen Recht fremde nationale Exkulpationsregelung bereits systematisch nicht in Betracht.
Der unfreiwillige Datenverlust begründe auch einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO. Dieser sei insbesondere im Kontrollverlust zu sehen, der vom Verordnungsgeber auch als Schaden gesehen werde, wie sich aus Erwägungsgrund 85 zur DSGVO ergebe. Im konkreten Fall sei der dem Kläger entstandene immaterielle Schaden mit 100,00 Euro zu bemessen. Insoweit sei zu berücksichtigen, dass die versendeten Daten eine konkrete und individuelle Identifizierung des Klägers und damit auch einen etwaigen Missbrauch in vielerlei Hinsicht ermöglichten. Neben Werbe- und Phishing-Mails kämen Identitätsdiebstahl, Rechnungsbestellungen und Ähnliches in Betracht; zudem sei zu berücksichtigen, dass eine endgültige und nicht rückgängig zu machende Übersendung der Daten erfolgt sei. Der Datenverlust sei dauerhaft; zudem seien sensible und durch Art. 9 DSGVO besonders geschützte Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO betroffen. Eine Weitergabe an Dritte sei trotz Rückrufversuchen und Informationsschreiben der Beklagten nicht auszuschließen. Andererseits seien keine konkreten, berücksichtigungsfähigen Beeinträchtigungen ersichtlich. Der Vortrag des Klägers beschränke sich im Wesentlichen auf den Verstoß gegen die DSGVO und den Datenverlust selbst. Eine weitergehende konkrete Betroffenheit habe sich nicht ergeben. Der Hinweis des Klägers auf militante Impfgegner sei hypothetisch. Auch die vom Kläger behauptete Phishing-Mail habe bei der Zumessung wenig Relevanz, da mit dem Risiko unerwünschter Kontaktaufnahme im digitalen Raum der Kläger wie jeder Nutzer von E-Mails und jeglicher Form sozialer Netzwerke unabhängig vom streitgegenständlichen Vorfall belastet sei, was zum allgemeinen Lebensrisiko gehöre.
Auch wenn dem Anspruch nach Art. 82 DSGVO in gewissem Umfang ein Abschreckungsgedanke innewohne, stehe dieser in seiner Bedeutung allerdings hinter dem Zweck des Ersatzes des entstandenen Schadens zurück. Während die Abschreckung in Art. 83 DSGVO ausdrücklich geregelt sei, sei dies bei Art. 82 DSGVO nicht der Fall. Darüber hinaus sei zu berücksichtigen, dass im vorliegenden Fall ca. 13.000 Personen betroffen seien und damit auch bei einem verhältnismäßig geringfügigen Betrag ein nicht unerheblicher Abschreckungseffekt eintrete.
Schließlich sei der Grad des Verschuldens zu berücksichtigen. Für ein vorsätzliches Verhalten bestünden keine Anhaltspunkte; das klägerische Vorbringen hierzu sei spekulativ. Für einen Anscheinsbeweis fehle es an einer rechtlichen Grundlage. Auch eine Kapitalisierung der Daten durch die Beklagte bzw. deren Verwendung für nicht genehmigte Zwecke liege unstreitig nicht vor.
Demgegenüber müsse sich der Kläger nur in sehr begrenztem Umfang entgegenhalten lassen, dass er einen Teil der nunmehr an Dritte versandten Daten bereits selbst einer überschaubaren Öffentlichkeit preisgegeben habe. Insoweit habe der Kläger lediglich sein Geburtsdatum auf seiner öffentlich einsehbaren Facebook-Seite veröffentlicht, jedoch keine weiteren Daten. Bei Adresse, E-Mail-Adresse und Mobilfunknummer handele sich darüber hinaus um Daten, welche Gegenstand regelmäßiger Preisgabe seien, da diese bei einer Vielzahl von Gelegenheiten angegeben werden müssten. Die Anschrift des Klägers könne zudem durch eine einfache Melderegisterauskunft erfragt werden. Auch die Mobilfunknummer sei in Zeiten diverser Programme mit Gruppenfunktion bei offengelegten Nummern der Teilnehmer eher bekannt. Die bekannt gegebenen Daten seien zudem abzugrenzen von sensibleren Daten wie etwa Kontodaten, Kreditkartennummern, Benutzernamen, Passwörtern, PINs, spezifischeren Gesundheitsdaten, Sozialversicherungsnummer oder Steuerdaten.
Der Anspruch des Klägers auf Zahlung vorgerichtliche Rechtsanwaltskosten scheitere an der Aktivlegitimation des Klägers. Diese sei von der Beklagten in Abrede und vom Kläger nicht unter Beweis gestellt worden. Das vom Kläger vorgelegte Dokument (Blatt 141 der LG-Akte) lasse nicht erkennen, dass es sich hierbei um eine Kostenzusage handele, da der vorgelegten Seite weder ein nachvollziehbarer Bezug zum Kläger noch zum Sachverhalt des vorliegenden Rechtsstreits zu entnehmen sei. Letztlich bleibe offen, ob der Kläger zur Geltendmachung der gemäß § 86 Abs. 1 VVG auf die Rechtsschutzversicherung übergegangenen Ansprüche ermächtigt sei.
Einer Vorlage zum Europäischen Gerichtshof bedürfe es ebenso wenig wie einer Aussetzung des Verfahrens. Denn eine Vorlagepflicht bestehe lediglich in Verfahren bei Gerichten, deren Entscheidungen nicht mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden könnten.
Ein weitergehender Anspruch des Klägers ergebe sich auch nicht aus einer anderen Anspruchsgrundlage, insbesondere nicht aus § 839 BGB in Verbindung mit Art. 34 GG bzw. in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG. Schadenersatz wegen immaterieller Einbußen werde insoweit nur bei einem schwerwiegenden Eingriff in das Persönlichkeitsrecht geschuldet. An einem solchen schwerwiegenden Eingriff fehle es hier im Hinblick auf Art und Schwere der Beeinträchtigung, Grad des Verschuldens sowie Anlass und Beweggrund des Handelns. Auch komme dem Sanktionsgedanken im nationalen Recht keine Bedeutung zu.
Wegen der weiteren Einzelheiten der Urteilsbegründung des Landgerichts wird auf das angefochtene Urteil erster Instanz Bezug genommen.
Mit seiner hiergegen gerichteten Berufung verfolgt der Kläger sein erstinstanzliches Begehren unter Wiederholung und Vertiefung seines erstinstanzlich gehaltenen Vortrags weiter, während die Beklagte mit ihrer Berufung weiterhin die vollständige Abweisung der Klage begehrt.
Der Kläger meint, die landgerichtliche Entscheidung überzeuge nicht, soweit das Landgericht einen Anspruch wegen einer Verletzung des allgemeinen Persönlichkeitsrechts gemäß § 823 Abs. 1 bzw. § 839 BGB in Verbindung mit Art. 34 GG in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG verneint habe, da ein schwerwiegender Eingriff in das Persönlichkeitsrecht des Klägers nicht vorliege. Wenn das Landgericht im Rahmen der Subsumtion eines Anspruchs nach Art. 82 DSGVO eine weitreichende und schwere Rechtsverletzung zum Nachteil des Klägers feststelle, stehe dies im Widerspruch dazu, dass es gleichwohl eine schwere Persönlichkeitsrechtsverletzung im Rahmen eines Anspruchs nach nationalem Recht verneint habe. Nach den Ausführungen zum Verstoß gegen die DSGVO habe das Landgericht zwingend auch das Vorliegen einer schweren Persönlichkeitsrechtsverletzung bejahen müssen.
Der vom Landgericht ausgeurteilte Betrag von 100,00 Euro sei zudem eher symbolischer Natur und entfalte weder nach der DSGVO noch im Sinne der Vorgaben des Bundesgerichtshofs zum Präventionsgedanken eine abschreckende Wirkung.
Der Kläger beantragt,
unter Abänderung des am 02.06.2022 verkündeten Urteils des Landgerichts Essen, Aktenzeichen 1 O 272/21,
die Beklagte zu verurteilen, an ihn ein Schmerzensgeld, dessen Höhe in das billige Ermessen des Gerichts gestellt wird, nebst fünf Prozentpunkten über dem Basiszinssatz seit dem 01.09.2021 zu zahlen;
die Beklagte zu verurteilen, an ihn Rechtsanwaltsgebühren in Höhe von 973,65 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 01.09.2021 zu zahlen.
Die Beklagte beantragt,
unter Abänderung des am 02.06.2022 verkündeten Urteils des Landgerichts Essen, Aktenzeichen 1 O 272/21, die Klage in vollem Umfang abzuweisen.
Die Beklagte wiederholt und vertieft ihre Ausführungen aus erster Instanz und beantragt erneut die Aussetzung des Verfahrens gemäß § 148 ZPO bis zu einer Entscheidung des EuGH in den dort anhängigen Vorabentscheidungsverfahren im Sinne von Art. 267 AEUV.
Wegen der weiteren Einzelheiten des Vorbringens der Parteien im Berufungsverfahren wird auf die in der Berufungsinstanz gewechselten Schriftsätze nebst Anlagen sowie auf den Berichterstattervermerk zum Senatstermin vom 09.12.2022 Bezug genommen.
II.
Die Berufungen des Klägers und der Beklagten sind zulässig.
Zwar übersteigt der Wert des Beschwerdegegenstands hinsichtlich der Beklagten entgegen § 511 Abs. 2 Nr. 1 ZPO nicht 600,00 Euro. Allerdings hat das Landgericht die Berufung zugelassen, woran der Senat gebunden ist.
Die von beiden Parteien gestellten Berufungsanträge legt der Senat zudem so aus, dass die Parteien die Zurückweisung der jeweiligen Berufung der Gegenseite beantragen, auch wenn diese Anträge im Senatstermin am 09.12.2022 nicht ausdrücklich gestellt wurden. Die Berufungsanträge der beiden Parteien setzen jeweils voraus, dass die Berufung der Gegenseite keinen Erfolg hat, so dass ihnen die genannten Anträge im Wege der Auslegung entnommen werden können.
Die Berufungen beider Parteien sind jedoch jeweils unbegründet. Zu Recht und mit zutreffender Begründung hat das Landgericht dem Kläger einen Zahlungsanspruch lediglich in Höhe von 100,00 Euro zuzüglich Zinsen zuerkannt und die Klage im Übrigen abgewiesen.
Die Klage ist zulässig, insbesondere auch hinsichtlich eines Anspruchs aus Art. 82 Abs. 1 DSGVO. Die Zuständigkeit deutscher Gerichte folgt insoweit aus Art. 82 Abs. 6, 79 Abs. 2 DSGVO. Die Klage ist aber nur in Höhe eines Betrages von 100,00 Euro zuzüglich Zinsen begründet, im Übrigen ist sie unbegründet.
- Die Beklagte haftet dem Kläger aus Art. 82 Abs. 1 DSGVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
- a) Die DSGVO ist auf den vorliegenden Fall anwendbar.
- aa) Der zeitliche Anwendungsbereich ist eröffnet, da sich der streitgegenständliche Vorfall nach dem 25.05.2018 ereignet hat, Art. 99 Abs. 2 UAbs. 1 DSGVO.
- bb) Auch der sachliche Anwendungsbereich der DSGVO ist eröffnet.
Gemäß Art. 2 Abs. 1 DSGVO gilt diese für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die in der Excel-Datei enthaltenen und offenbarten Angaben zur Person des Klägers (Name, Geburtsdatum, Anschrift, Telefonnummer, E-Mail-Adresse, Impfstatus) sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Die Versendung der Datei mit den enthaltenen Daten per E-Mail an eine Vielzahl von Empfängern stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar („Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“). Auch handelt es sich bei der versandten Excel-Datei um ein Dateisystem im Sinne von Art. 4 Nr. 6 DSGVO, nämlich eine strukturierte Sammlung personenbezogener Daten.
- cc) Art. 82 DSGVO, der gemäß Art. 288 Abs. 2 AEUV unmittelbar gilt, wird entgegen der Auffassung der Beklagten auch nicht durch § 839 BGB verdrängt.
Zwar verdrängt § 839 BGB in seinem Anwendungsbereich konkurrierende Ansprüche aus §§ 823 ff. BGB sowie Ansprüche außerhalb des BGB, die Verschulden oder vermutetes Verschulden voraussetzen (BGH, Urteil vom 06.06.2019 – III ZR 124/18, juris Rn. 10 m. w. N.; Wöstmann, in: Staudinger, BGB, Neubearbeitung 2020, § 839 Rn. 34). Der Grund hierfür ist aber in erster Linie in Art. 34 S. 1 GG zu sehen, wonach für den durch eine Amtspflichtverletzung eines Amtsträgers verursachten Schaden der Staat oder die Körperschaft haftet, in deren Dienst er steht, nicht aber der Amtsträger selbst. Insoweit wird auch das durch §§ 823 ff. BGB begründete Schutzniveau durch diese Verdrängung nicht beeinträchtigt; die Begehung eines Deliktstatbestands durch einen Amtsträger im Rahmen der Amtsausübung ist zugleich eine Amtspflichtverletzung (vgl. BGH, Urteil vom 28.11.2002 – III ZR 122/02, juris Rn. 9; Wöstmann, in: Staudinger, BGB, Neubearbeitung 2020, § 839 Rn. 34; Dörr, in: Gsell/Krüger/Lorenz/Reymann, BeckOGK, Stand 01.08.2022, § 839 BGB Rn. 31).
Der Anspruch aus Art. 82 Abs. 1 DSGVO ist aber auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung einer Amtspflicht im Sinne von Art. 34 S. 1 GG, da es sich hierbei nicht um eine auf die Anstellungskörperschaft übergeleitete Haftung eines Amtsträgers handelt, sondern um eine originäre Haftung der Behörde selbst. Denn durch Art. 34 S. 1 GG wird der Staat zwar zum Haftungssubjekt, nicht aber zum Zurechnungssubjekt (vgl. BVerfG, Urteil vom 19.10.1982 – 2 BvF 1/81, juris Rn. 139). Der Anspruch aus Art. 82 Abs. 1 DSGVO richtet sich aber gegen den Verantwortlichen oder den Auftragsverarbeiter. Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist gemäß Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die Begriffe des Verantwortlichen und des Auftragsverarbeiters sind daher institutionell zu verstehen. Werden in einer Behörde Daten verarbeitet, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und damit auch nicht Adressat des Anspruchs. Dieser richtet sich vielmehr unmittelbar gegen den Staat bzw. die jeweilige Anstellungskörperschaft (vgl. BFH, Beschluss vom 28.06.2022 – II B 92/21, juris Rn. 18).
Gemäß Erwägungsgrund 146 S. 4 zur DSGVO gilt Art. 82 DSGVO im Übrigen unbeschadet von Schadensersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. Der Anspruch aus § 839 Abs. 1 S. 1 BGB in Verbindung mit Art. 34 S. 1 GG kommt daher neben einem Anspruch aus Art. 82 DSGVO in Betracht, der keine abschließende Regelung darstellt, verdrängt diesen aber nicht (vgl. Frenzel, in: Paal/Pauly, DSGVO, BDSG, 3. Auflage 2021, Art. 82 DSGVO Rn. 20; Gola/Piltz, in: Gola/Heckmann, DSGVO – BDSG, 3. Auflage 2022, Art. 82 DSGVO Rn. 27; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DSGVO Rn. 8; Schaffland/Holthaus, in: Schaffland/Wiltfang, DSGVO/BDSG, Stand: August 2022, Art. 82 DSGVO Rn. 36; Bergt, in: Kühling/Buchner, DSGVO, BDSG, 3. Auflage 2020, Art. 82 DSGVO Rn. 67; vgl. auch OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20, juris Rn. 69; KG, Beschluss vom 02.02.2021 – 9 W 1117/20, juris Rn. 44).
Eine derartige Verdrängung des Anspruchs aus Art. 82 Abs. 1 DSGVO, wie sie die Beklagte annimmt, wäre auch mit dem in Art. 4 Abs. 3 EUV zum Ausdruck kommenden Grundsatz, wonach den Normen des europäischen Gemeinschaftsrechts eine möglichst optimale Wirkungskraft zukommen muss („effet utile“), nicht in Einklang zu bringen.
- b) Der Kläger ist für den geltend gemachten Anspruch aktivlegitimiert. Denn anspruchsberechtigt ist nach Art. 82 Abs. 1 DSGVO jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist.
- c) Die Beklagte ist als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO passivlegitimiert im Sinne von Art. 82 Abs. 1 DSGVO.
- d) Es liegt auch ein Verstoß gegen die DSGVO im Sinne von Art. 82 Abs. 1 DSGVO vor.
Als Verstoß kommen materielle und formelle Verstöße in Betracht. Nach Wortlaut und Zielrichtung der Norm muss kein Verstoß gegen in der DSGVO geregelte Datenschutzbestimmungen vorliegen; es genügt vielmehr ein Verstoß gegen die Verordnung selbst (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DSGVO Rn. 14). Im Hinblick auf Erwägungsgrund 146 S. 1 zur DSGVO muss allerdings bei einer Verarbeitung gegen die DSGVO verstoßen worden sein (Nemitz, in: Ehmann/Selmayr, DSGVO, 2. Auflage 2018, Art. 82 Rn. 8). Die Beweislast für einen solchen Verstoß obliegt grundsätzlich dem Anspruchsteller, wobei die allgemeine Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu Erleichterungen führen kann (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DSGVO Rn. 16).
- aa) Es liegt ein Verstoß gegen Art. 5 Abs. 1 Buchst. a DSGVO vor.
Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Die Verarbeitung der personenbezogenen Daten des Klägers, die in ihrem Versand als Anhang zu der E-Mail an deren Empfänger zu erblicken ist, und damit ihre Offenlegung gegenüber Dritten war rechtswidrig. Denn die Verarbeitung ist nach Art. 6 Abs. 1 UAbs. 1 DSGVO nur rechtmäßig, wenn mindestens eine der dort genannten Bedingungen erfüllt ist. Dies ist hier nicht ersichtlich. Weder lag eine Einwilligung des Klägers im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO vor, noch war die Verarbeitung in Gestalt der Übermittlung als Anhang zu der E-Mail für einen der in Art. 6 Abs. 1 UAbs. 1 Buchst. b bis f DSGVO genannten Zwecke erforderlich.
- bb) Es liegt auch ein Verstoß gegen Art. 5 Abs. 1 Buchst. f DSGVO vor.
Nach der Vorschrift müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
Die Vorschrift stellt auf eine angemessene Sicherheit personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen ab. Nach Erwägungsgrund 39 S. 12 zur DSGVO gehört hierzu unter anderem auch, dass unbefugte Personen weder Zugang zu den Daten noch zu den Geräten haben, mit denen sie verarbeitet werden (Schantz, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.11.2021, Art. 5 DSGVO Rn. 35 f.).
Die von der Beklagten in zweiter Instanz vorgetragenen und vom Kläger nicht bestrittenen Tatsachen zu den Abläufen im Zusammenhang mit dem Versand der E-Mail vom 00.00.2021 machen deutlich, dass die Beklagte die diesbezüglichen Anforderungen grundsätzlich beachtet hat, da die entsprechenden Daten der Terminbuchungen nur von bestimmten Personen eingesehen, bearbeitet und nur auf bestimmten Geräten gespeichert werden durften. Außerdem wurde, wie von Seiten der Beklagten im Senatstermin am 09.12.2022 noch einmal glaubhaft dargestellt, ein Vier-Augen-Prinzip praktiziert, mit dem einem Missbrauch von personenbezogenen Daten und auch unbeabsichtigten Fehlern bei der Datenverarbeitung entgegengewirkt werden konnte.
Dennoch war die konkrete Datenverarbeitung nicht ausreichend abgesichert, weil der Versand der E-Mails von den beiden damit befassten Mitarbeitern mit der versehentlich nicht entfernten, unverschlüsselten Excel-Datei erfolgte, die den Empfängern nicht zu offenbarende personenbezogene Daten Dritter enthielt. Diese Verarbeitung bewirkte einen unbeabsichtigten Datenschutzverstoß, der bereits eine Verletzung des Art. 5 Abs. 1 Buchst. f DSGVO darstellt. Ob es zudem eine Anweisung der Beklagten zur grundsätzlichen Verschlüsselung von (Excel-)Dateien mit den Daten zu impfender Personen für die Mitarbeiter der in Frage stehenden Arbeitseinheit im Impfzentrum hätte geben müssen, ist für die Frage des Verstoßes gegen Art. 5 Abs. 1 Buchst. f DSGVO unerheblich, weil die (unverschlüsselte) Excel-Datei überhaupt nicht hätte versandt werden dürfen.
- cc) Zudem liegt ein Verstoß gegen Art. 9 Abs. 1 DSGVO vor.
Nach dieser Vorschrift ist die Verarbeitung von Gesundheitsdaten untersagt, sofern nicht eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegt. Gesundheitsdaten sind gemäß Art. 4 Nr. 15 DSGVO personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Gemäß Erwägungsgrund 35 S. 1 zur DSGVO sollen hierzu alle Daten gehören, die sich auf den Gesundheitszustand der betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand hervorgehen. Anknüpfungspunkt ist damit der Gesundheitszustand, nicht aber die Krankheit einer Person, weshalb auch die Feststellung, dass eine Person genesen oder überhaupt völlig gesund ist, vom Begriff der Gesundheitsdaten erfasst wird (Weichert, in: Kühling/Buchner, DSGVO, BDSG, 3. Auflage 2020, Art. 4 Nr. 15 DSGVO Rn. 1).
Gesundheitsdaten sind hier die Informationen über die Anzahl der Impfungen und den vorgesehenen Impfstoff. Nach den Angaben des Klägers im Senatstermin stand für diesen seinerzeit die zweite Impfung an. Jedenfalls diese Information stellt ein Gesundheitsdatum im Sinne von Art. 4 Nr. 15 DSGVO dar. Denn aus dem Umstand, dass der Kläger bereits eine Impfung erhalten hatte und nunmehr eine zweite Impfung anstand, konnte jedenfalls der Rückschluss gezogen werden, dass in der Person des Klägers eine Kontraindikation gegen eine Impfung etwa aufgrund einer Vorerkrankung nicht gegeben war.
Eine Ausnahme im Sinne von Art. 9 Abs. 2 DSGVO greift vorliegend nicht ein. Weder lag eine Einwilligung des Klägers im Sinne von Art. 9 Abs. 2 Buchst. a DSGVO vor, noch war die Verarbeitung in Gestalt der Übermittlung als Anhang zu der E-Mail für einen der in Art. 9 Abs. 2 Buchst. b bis j DSGVO genannten Zwecke erforderlich.
- dd) Ob auch ein Verstoß gegen Art. 32 Abs. 1 DSGVO gegeben ist, den das Landgericht bejaht hat, kann der Senat offen lassen. Ein eventueller Verstoß hätte ein geringes Gewicht und fiele neben den Verstößen gegen Art. 5 Abs. 1 Buchst. a und f und 9 Abs. 1 DSGVO nicht ins Gewicht.
Nach Art. 32 Abs. 1 DSGVO sollen unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen die Verantwortlichen geeignete technische und obligatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Wie bereits ausgeführt, hat die Beklagte Maßnahmen zur Einhaltung der Anforderungen des Datenschutzes bei der Datenverarbeitung in ihrem Impfzentrum getroffen, die grundsätzlich geeignet waren, personenbezogene Daten vor einem unbefugten Zugriff, unrechtmäßiger Verarbeitung und auch unbeabsichtigten Pflichtverletzungen zu schützen. So erfolgte die Verarbeitung durch eine begrenzte Anzahl eingewiesener Mitarbeiter allein auf dienstlichen Computern nach dem beschriebenen Vier-Augen-Prinzip.
Ob es dann letztlich, um den an die Integrität und Vertraulichkeit der zu bearbeitenden Daten gem. Art. 32 DSGVO zu stellenden Anforderungen zu genügen, noch der Anweisung bedurft hätte, (Excel-)Dateien mit personenbezogenen Daten mit einem Passwortschutz zu versehen, bedarf keiner abschließenden Bewertung. Nähme man einen Verstoß an, fiele er bei dem im vorliegenden Fall zu beurteilenden Datenschutzverstoß nicht erheblich ins Gewicht.
Die in Frage stehende Excel-Datei musste kurzzeitig erstellt werden, um die E-Mailadressen der Impfwilligen zu ermitteln, die von den geänderten Öffnungszeiten des Impfzentrums betroffen waren und deswegen informiert werden sollten. Sie wurde nur zu diesem Zweck und auch nur für eine kurze Zeit benötigt und konnte nach der Erledigung der Aufgabe gelöscht werden, was nach den Angaben der Beklagten nach dem Versand der E-Mails zur Information der von den geänderten Öffnungszeiten betroffenen Impfwilligen auch erfolgte (die Excel-Datei ist heute bei der Beklagten nicht mehr verfügbar). Dass bei der Erledigung dieser Aufgabe eine Situation entstand, in der es zum versehentlichen Versand der Datei als E-Mail-Anhang kommen konnte, in dem der streitgegenständliche Datenschutzverstoß liegt, ist nach den auch insoweit glaubhaften Angaben der Beklagten den bei der Bearbeitung auftretenden technischen Schwierigkeiten geschuldet. Diese führten dazu, dass die Excel-Datei mit einem anderen Rechner, als dem Rechner, mit dem sie erstellt worden war, bearbeitet werden musste und deswegen als E-Mail-Anhang zunächst verschickt wurde, um E-Mail und Excel-Datei an einem anderen Rechner bearbeiten zu können. Dass diese nur für einen kurzen Zeitraum benötigte Excel-Datei, die an sich auch nicht als E-Mail-Anhang benötigt wurde, bei ihrer Erstellung nicht verschlüsselt wurde, ist kein Umstand, der bei dem in Frage stehenden Datenschutzverstoß erheblich ins Gewicht fällt. Maßgeblich ist insoweit, wie bereits ausgeführt, dass sie von den mit dem Versand der E-Mail befassten Mitarbeitern als E-Mail-Anhang übersehen und deswegen vor dem Abschicken der E-Mail nicht entfernt wurde, was insbesondere einen Verstoß gegen Art. 5 Abs. 1 Buchst. a und f und 9 Abs. 1 DSGVO darstellt.
- e) Die Beklagte ist nicht gemäß Art. 82 Abs. 3 DSGVO von der Haftung befreit.
Gemäß Art. 82 Abs. 3 DSGVO wird der Anspruchsverpflichtete von der Haftung befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Verantwortung ist hier das Verschulden im Sinne der deutschen Rechtsterminologie und nicht die datenschutzrechtliche Verantwortung (LG Mainz, Urteil vom 12.11.2021 – 3 O 12/20, juris Rn. 73 – nicht rechtskräftig; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DSGVO Rn. 17 und 17.2; Geissler/Ströbel, in: NJW 2019, 3414 (3415)). Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet. Um die Feststellung treffen zu können, der Verantwortliche sei „in keinerlei Hinsicht“ verantwortlich, hat der Verantwortliche nachzuweisen, dass er alle Sorgfaltspflichten erfüllt hat und ihm damit nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Schaffland/Holthaus, in: Schaffland/Wiltfang, DSGVO/BDSG, Stand: August 2022, Art. 82 DSGVO Rn. 29). Dies wäre etwa der Fall, wenn von allen mit der Datenverarbeitung befassten Personen alle erforderlichen technischen und organisatorischen Datensicherungsmaßnahmen eingehalten wurden und es dennoch zu einem unbefugten Datenzugriff kommt (vgl. Bergt, in: Kühling/Buchner, DSGVO, BDSG, 3. Auflage 2020, Art. 82 DSGVO Rn. 54).
- aa) Diesen Nachweis hat die Beklagte indes nicht zu führen vermocht. Im Hinblick auf die Verstöße gegen Art. 5 Abs. 1 Buchst. a und f sowie 9 Abs. 1 DSGVO liegt ein der Beklagten zuzurechnendes Verschulden ihrer Mitarbeiter vor, die die E-Mail abgesandt haben. Die allgemeinen Grundsätze des § 278 BGB gelten auch hier (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DSGVO Rn. 20). Die Absendung der E-Mail ohne das vorherige Entfernen der angehängten Excel-Datei ist zumindest als fahrlässig im Sinne von § 276 Abs. 2 BGB einzustufen. Bei Beachtung der gebotenen Sorgfalt wäre vor dem Absenden der E-Mail zunächst die angehängte Datei bemerkt und dann noch entfernt worden. Für das Verhalten ihrer Mitarbeiter haftet die Beklagte als Verantwortliche, ohne sich entlasten zu können (vgl. Bergt, in: Kühling/Buchner, DSGVO, BDSG, 3. Auflage 2020, Art. 82 DSGVO Rn. 55; Nemitz, in: Ehmann/Selmayr, DSGVO, 2. Auflage 2018, Art. 82 Rn. 20; Frenzel, in: Paal/Pauly, DSGVO, BDSG, 3. Auflage 2021, Art. 82 DSGVO Rn. 15).
- bb) Soweit die Auffassung vertreten wird, Art. 82 Abs. 1 DSGVO regle einen Fall verschuldensunabhängiger Haftung (vgl. etwa BAG, EuGH-Vorlage vom 26.08.2021 – 8 AZR 253/20 (A), juris Rn. 39), kommt es auf die Entscheidung dieser Frage für den vorliegenden Fall nicht an, da von einem fahrlässigen und damit auch schuldhaften Verstoß auszugehen ist.
- cc) Entgegen der Auffassung der Beklagten kann sie sich auch nicht unter Verweis auf § 831 Abs. 1 S. 2 BGB entlasten. Denn diese Exkulpationsregel ist nach Auffassung des Senats nicht anzuwenden. Zwar mag die Einordnung des Anspruchs aus Art. 82 DSGVO als deliktischer Anspruch dafür sprechen, die allgemeinen Regeln des deutschen Deliktsrechts ergänzend heranzuziehen. Allerdings spricht bereits der Wortlaut von Art. 82 Abs. 3 DSGVO dagegen. Dieser lässt eine Entlastung des Verantwortlichen oder Auftragsverarbeiters nur dann zu, wenn er in keinerlei Hinsicht für den Umstand, durch den der Schaden entstanden ist, verantwortlich ist. Hiernach genügt es nicht, dass der Verantwortliche bei einer arbeitsteilig organisierten Datenverarbeitung seine mit der Datenverarbeitung befassten Mitarbeiter sorgfältig aussucht und überwacht. Deswegen sind bei der Beurteilung dieser Frage auch die datenschutzrechtlichen Sonderregelungen mit ihren Organisationspflichten in den Blick zu nehmen, die auf diese Weise ausgehebelt werden könnten. Dies wäre mit dem von Art. 82 DSGVO beabsichtigten wirkungsvollen und umfassenden Schadenersatz im Sinne von Erwägungsgrund 146 S. 3 zur DSGVO nicht zu vereinbaren (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DSGVO Rn. 20; Nemitz, in: Ehmann/Selmayr, DSGVO, 2. Auflage 2018, Art. 82 Rn. 20; Gola/Piltz, in: Gola/Heckmann, DSGVO/BDSG, 3. Auflage 2022, Art. 82 DSGVO Rn. 25; wohl auch Bergt, in: Kühling/Buchner, DSGVO, BDSG, 3. Auflage 2020, Art. 82 DSGVO Rn. 55).
- dd) Eine Haftung der Beklagten ist entgegen deren Auffassung auch nicht gemäß § 839 Abs. 1 S. 2 BGB ausgeschlossen.
Der Anspruch aus Art. 82 Abs. 1 DSGVO ist – wie bereits dargelegt – kein Amtshaftungsanspruch, so dass auch § 839 Abs. 1 S. 2 BGB keine Anwendung findet. Dies wäre im Übrigen mit dem Grundsatz des „effet utile“ unvereinbar (vgl. Frenzel, in: Paal/Pauly, DSGVO, BDSG, 3. Auflage 2021, Art. 82 DSGVO Rn. 20).
- f) Dem Kläger ist auch ein immaterieller Schaden entstanden.
Einen solchen sieht der Kläger insbesondere in dem mit dem Versand der Excel-Datei verbundenen Kontrollverlust seiner in der Datei aufgeführten personenbezogenen Daten und dem späteren Erhalt einer Phishing-E-Mail am 18.08.2021, den er auf diesen Kontrollverlust zurückführt.
Einen ihm entstandenen materiellen Schaden macht er – abgesehen von der als Nebenforderung verlangten Erstattung vorgerichtlich entstandener Rechtsanwaltskosten – mit seiner Klage nicht geltend.
Der Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO ist – europarechtlich autonom und unter Berücksichtigung der in den Erwägungsgründen zur DSGVO niedergelegten Zielsetzungen – weit auszulegen (OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris Rn. 72).
- aa) Nach dem Wortlaut von Art. 82 Abs. 1 DSGVO muss der Schaden „entstanden“ sein. Dies gilt auch für einen immateriellen Schaden. Im Erwägungsgrund 146 S. 6 zur DSGVO ist insoweit ausdrücklich von einem „erlittenen Schaden“ die Rede. Der Schaden ist daher nicht mit der zugrunde liegenden Verletzung der DSGVO gleichzusetzen (OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris Rn. 74; OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20, juris Rn. 70 f.; OLG Bremen, Beschluss vom 16.07.2021 – 1 W 18/21, juris Rn. 2; Buchner/Wessels, in: ZD 2022, 251 (254 f.)). Auch ein immaterieller Schaden muss daher konkret dargelegt werden (OLG Brandenburg, Beschluss vom 11.08.2021 – 1 U 69/20, juris Rn. 3; OLG Bremen, Beschluss vom 16.07.2021 – 1 W 18/21, juris Rn. 2; LG Hamburg, Urteil vom 04.09.2020 – 324 S 9/19, juris Rn. 34; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DSGVO Rn. 23a).
- bb) Allerdings sind die Voraussetzungen für einen Anspruch auf immateriellen Schadensersatz in der Rechtsprechung des Europäischen Gerichtshofes weder erschöpfend geklärt, noch kann er in seinen einzelnen, für die Beurteilung eines im Verfahren vorgetragenen Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden (BVerfG, Beschluss vom 14.01.2021 – 1 BvR 2853/19, juris Rn. 20).
Umstritten ist insoweit die Frage, ob im Hinblick auf einen immateriellen Schaden eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss, ob der bloße Datenverlust an sich oder ein ungutes Gefühl ein ausreichender Schaden ist und sogenannte Bagatellschäden auszuschließen sind (so etwa OLG Dresden, Urteil vom 20.08.2020 – 4 U 784/20, juris Rn. 32; vgl. auch LG Saarbrücken, EuGH-Vorlage vom 22.11.2021 – 5 O 151/19, juris Rn. 51 ff.).
Nach dem Wortlaut von Art. 82 Abs. 1 DSGVO setzt die Zuerkennung eines Anspruchs wegen immaterieller Schäden nicht voraus, dass eine gewisse Erheblichkeitsschwelle erreicht oder überschritten ist. Die Norm enthält – wie auch die DSGVO im Übrigen und die ihr vorangestellten Erwägungsgründe – keinen Hinweis darauf, dass geringfügige Schäden im Sinne von Bagatellschäden nicht auszugleichen wären (OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris Rn. 75; OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20, juris Rn. 72; vgl. auch BVerfG, Beschluss vom 14.01.2021 – 1 BvR 2853/19, juris Rn. 21).
Eine derartige Beschränkung des Anspruchs ist nach Auffassung des Senats auch nicht angezeigt. Nach Erwägungsgrund 146 S. 3 zur DSGVO soll der Schaden „im Lichte der Rechtsprechung des Gerichtshofs weit und auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“, was bereits gegen das Erfordernis einer besonderen Erheblichkeit des immateriellen Schadens spricht. Auch nach Erwägungsgrund 148 S. 3 zur DSGVO, der sich mit der Möglichkeit der Verhängung von Geldbußen bei Verstößen gegen die Vorschriften der DSGVO durch die Aufsichtsbehörden befasst, soll die Möglichkeit bestehen, in Fällen geringfügiger Verstöße anstelle einer Geldbuße eine Verwarnung zu erteilen. Dies spricht dafür, einen Anspruch gemäß Art. 82 Abs. 1 DSGVO nicht vom Erreichen oder Überschreiten einer Erheblichkeitsschwelle abhängig zu machen. Soweit tatsächlich nur ein geringfügiger immaterieller Schaden eingetreten sein sollte, ist dieser Umstand vielmehr bei der konkreten Bemessung der Entschädigung zu berücksichtigen und nicht bei der Frage, ob eine Bagatellgrenze überschritten ist (OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris Rn. 75).
Der Begriff des Schadens in Art. 82 Abs. 1 DSGVO ist ein europarechtlicher Begriff und damit autonom auszulegen. Soweit im deutschen Recht etwa ein immaterieller Schadenersatz nur bei schwerwiegender Persönlichkeitsrechtsverletzung zugesprochen wird, was auch der ausdrücklichen Regelung im zwischenzeitlich aufgehobenen § 8 Abs. 2 BDSG in der Fassung vom 14.01.2003 entsprach, kann dies bei einem Anspruch aus Art. 82 DSGVO einen Ausschluss vermeintlicher Bagatellschäden nicht rechtfertigen (vgl. OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris Rn. 77; OLG Frankfurt, Urteil vom 14.04.2022 – 3 U 21/20, juris Rn. 44; LG Karlsruhe, Urteil vom 02.08.2019 – 8 O 26/19, juris Rn. 19; Bergt, in: Kühling/Buchner, DSGVO, BDSG, 3. Auflage 2020, Art. 82 DSGVO Rn. 18a).
Nach dem Gedanken von Art. 4 Abs. 3 EUV sind die Mitgliedstaaten der Europäischen Union und damit auch ihre Gerichte verpflichtet, dem europäischen Recht und damit auch der DSGVO effektiv Wirkung zu verschaffen. Angesichts der in Erwägungsgrund 146 S. 3 zur DSGVO geforderten weiten Auslegung ist der Senat daher der Auffassung, dass bereits in einem unguten Gefühl der Ungewissheit, ob personenbezogene Daten Unbefugten bekannt geworden sind, ein erlittener immaterieller Schaden zu sehen sein kann. Erst recht liegt ein solcher vor, wenn ein den Betroffenen belastender rechtswidriger Kontrollverlust seiner personenbezogenen Daten eingetreten ist und sich zum Beispiel bereits in einer missbräuchlichen Verwendung der Daten realisiert hat.
Dafür sprechen auch die beispielhaften Aufzählungen im Erwägungsgrund 75 zur DSGVO sowie die Ausführungen im Erwägungsgrund 85 Satz 1 zu dieser Verordnung, nach der eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen kann, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte etc. Hiernach reicht insbesondere ein Kontrollverlust der eigenen personenbezogenen Daten für die Annahme eines eingetretenen immateriellen Schadens aus (vgl. OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20, juris Rn. 51; Bergt, in: Kühling/Buchner, DSGVO, BDSG, 3. Auflage 2020, Art. 82 DSGVO Rn. 18b; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DSGVO Rn. 24).
- cc) Ein derartiger immaterieller Schaden ist daher grundsätzlich auszugleichen, mag er auch im Einzelfall nur zu einer geringfügigen Beeinträchtigung geführt haben. Den Eintritt eines Schadens hingegen von einer gewissen Erheblichkeit abhängig zu machen, die etwa dann vorliegen könnte, wenn es bereits zu einer öffentlichen Bloßstellung infolge der rechtswidrigen Offenbarung von personenbezogenen Daten gekommen ist, nicht aber schon dann, wenn es durch einen schuldhaften Verstoß gegen die Bestimmungen der DSGVO über diesen Verstoß hinaus nur zu einer Verärgerung des Betroffenen oder einem sonstigen Gefühlsschaden gekommen ist, würde hingegen eine Verkennung des autonom auszulegenden Merkmals des Schadens im Sinne von Art. 82 Abs. 1 DSGVO bedeuten (OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris Rn. 81). Für die Frage, ob ein Anspruch dem Grunde nach entstanden ist, kann die Frage nach der Erheblichkeit der Beeinträchtigung letztlich keine Rolle spielen; sie ist vielmehr bei der Frage der konkreten Höhe des Anspruchs zu berücksichtigen, da erst hier die konkret eingetretene immaterielle Beeinträchtigung und das notwendige Schutzniveau der betroffenen Daten zum Tragen kommen.
Der Genugtuungsfunktion des Ersatzanspruchs wegen immaterieller Schäden kommt dann ergänzende Bedeutung zu, sofern es zu einer tatsächlichen Beeinträchtigung der Schutzgüter der DSGVO im Verhältnis zu Dritten im Sinne einer Verwendung der pflichtwidrig verarbeiteten personenbezogenen Daten gegenüber Dritten gekommen ist. Denn in diesem Fall geht es nicht mehr nur um die bloße Sorge vor den Folgen eines Datenschutzverstoßes; vielmehr hat sich das in dem Datenschutzverstoß liegende Risiko hier bereits verwirklicht, was im Rahmen der konkreten Bestimmung des Ersatzanspruchs für dessen Höhe von Bedeutung ist (OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris Rn. 82).
Auch muss die generalpräventive Wirkung des immateriellen Schadensersatzanspruchs in den Blick genommen werden. Im Hinblick auf Gegenstand und Ziele der DSGVO, wie sie in Art. 1 DSGVO geregelt sind, ist es daher geboten, auch kleinere Verstöße ohne Anerkennung einer sogenannten Bagatellgrenze zu sanktionieren. In diesem Falle ist nämlich auch eine weniger einschneidende Sanktion in Form der Zuerkennung einer überschaubaren Geldentschädigung für den Anspruchsverpflichteten spürbar und damit auch effektiv, da sie letztlich einen Anreiz schafft, für ein ausreichendes Schutzniveau zu sorgen, um eine Realisierung des Risikos der Leistung von Schadensersatzzahlungen von vornherein auszuschließen oder jedenfalls gering zu halten (OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris Rn. 83).
Auch vor diesem Hintergrund besteht aus Sicht des Senats keine Veranlassung, die Entstehung eines Anspruchs dem Grunde nach vom Erreichen bzw. Überschreiten einer Erheblichkeitsschwelle abhängig zu machen.
- dd) Der Eintritt eines Schadens setzt auch nicht voraus, dass dem Betroffenen durch den Verstoß gegen die DSGVO ein spürbarer Nachteil entstanden ist oder es zu einer objektiv nachvollziehbaren Beeinträchtigung von persönlichkeitsbezogenen Belangen mit gewissem Gewicht gekommen ist. Insoweit wird vertreten, dass für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für eine bloß individuell empfundene Unannehmlichkeit kein Schmerzensgeld zu gewähren sei (LG Essen, Urteil vom 23.09.2021 – 6 O 190/21, juris Rn. 53; AG Diez, Urteil vom 07.11.2018 – 8 C 130/18, juris Rn. 6; Schaffland/Holthaus, in: Schaffland/Wiltfang, DSGVO/BDSG, Stand: August 2022, Art. 82 DSGVO Rn. 5 und 11a – hier: eine unwillkommene Mail konnte vom Betroffenen ohne großen Aufwand gelöscht werden). Auch wird vertreten, ein Schadenersatzanspruch bestehe nicht bei bloßen Bagatellschäden, die vorliegen sollen bei der Verbreitung von Name, Geburtsdatum, Geschlecht, E-Mail-Adresse und Telefonnummer einer Person (LG Karlsruhe, Urteil vom 09.02.2021 – 4 O 67/20, juris Rn. 38; Schaffland/Holthaus, in: Schaffland/Wiltfang, DSGVO/BDSG, Stand: August 2022, Art. 82 DSGVO Rn. 14a).
Nach Überzeugung des Senats findet eine derartige Einschränkung des Anspruchs in der DSGVO keine Grundlage und ist auch aus sonstigen Gründen nicht geboten. Es handelt sich auch hierbei letztlich ebenfalls um eine Erheblichkeitsschwelle, die weder in der DSGVO noch in der Rechtsprechung des EuGH eine Stütze findet (vgl. Buchner/Wessels, in ZD 2022, 251 (254)).
- ee) Ausgehend von dem vorstehend beschriebenen Begriff des immateriellen Schadens ist dem Kläger im vorliegenden Fall ein solcher dadurch entstanden, dass die in der Excel-Datei enthaltenen personenbezogenen Daten des Klägers offenbart wurden und der Kläger die Kontrolle über diese gegenüber Dritten offenbarten Daten verloren hat. Zu Recht macht der Kläger den ihn belastenden Kontrollverlust bezüglich seiner Daten geltend, was als Schaden zu bewerten ist.
Zudem ist ein immaterieller Schaden im Erhalt der unerwünschten E-Mail vom 18.08.2021 zu sehen. Der Kläger hat insoweit vorgetragen, er habe am 18.08.2021 eine E-Mail einer sogenannten Europäischen Zentrale für Verbraucherschutz erhalten. Dies hat die Beklagte zwar mit Nichtwissen bestritten, jedoch zugleich vorgetragen, dass dies nicht unwahrscheinlich erscheine, da auch andere von der Datenpanne Betroffene gegenüber der Beklagten den Erhalt einer inhaltsgleichen E-Mail berichtet hätten. Nachdem der Kläger einen Ausdruck der E-Mail vom 18.08.2021 vorgelegt (Blatt 15 der LG-Akte) und den Erhalt der E-Mail auch im Senatstermin bestätigt hat, ist der Senat davon überzeugt, dass der Kläger tatsächlich diese E-Mail erhalten hat.
Soweit der Kläger weiter geltend macht, bei der E-Mail vom 18.08.2021 habe es sich um eine Phishing-Mail gehandelt, mit der weitere Daten des Klägers „abgegriffen“ oder sein PC „gehackt“ hätte werden sollen, begründet dies jedoch keinen weitergehenden Schaden. Es ist schon nicht erkennbar, dass es tatsächlich zu einem weiteren Abfluss von Daten des Klägers gekommen ist oder sein PC tatsächlich gehackt wurde. Auch soweit der Kläger mit seinem Vorbringen offenbar geltend machen will, er könne Gefahren durch „militante Impfgegner“ ausgesetzt sein, zumal die Befürwortung der Corona-Impfung und der vollständige Name des Klägers und seine Anschrift unter anderem auch Kriminellen bekannt geworden seien, vermag dieses rein spekulative Vorbringen nicht die Annahme eines weitergehenden Schadens zu rechtfertigen. Es dokumentiert allenfalls die mit dem Kontrollverlust verbundene Belastung des Klägers, aber keine darüber hinausgehende immaterielle Schadenssituation.
- g) Der vom Kläger geltend gemachte immaterielle Schaden ist eine kausale Folge des Verstoßes gegen die DSGVO.
Nach dem Wortlaut von Art. 82 Abs. 1 DSGVO („wegen“) ist ein Kausalzusammenhang zwischen der Verletzungshandlung bzw. dem Verstoß gegen die DSGVO und dem geltend gemachten Schaden erforderlich (OLG Stuttgart, Urteil vom 31.03.2021 – 9 U 34/21, juris Rn. 60 ff.), wobei eine Mitursächlichkeit ausreichend ist.
- aa) Der Kontrollverlust des Klägers hinsichtlich seiner in der Excel-Datei enthaltenden personenbezogenen Daten ist eine kausale Folge des der Beklagten anzulastenden Verstoßes gegen die DSGVO.
Denn erst durch den Versand der E-Mail nebst Excel-Datei und der damit verbundenen Offenbarung der personenbezogenen Daten des Klägers verlor dieser die Kontrolle über die offenbarten Daten.
Dem stehen entgegen der Auffassung der Beklagten auch nicht die Aktivitäten des Klägers in sogenannten sozialen Netzwerken oder Messengerdiensten entgegen.
Zu Unrecht meint die Beklagte, aufgrund der Nutzung von Messengerdienst02 durch den Kläger sei dessen Mobilfunknummer bekannt geworden. Es ist allgemein bekannt und von der Beklagten nach dem diesbezüglichen Vortrag des Klägers auch nicht mehr in Abrede gestellt worden, dass die Informationen zu einem Nutzer des Messengerdienstes Messengerdienst02 nur für Personen sichtbar sind, die auch die entsprechende Telefonnummer kennen und in dem Dienst verwenden, mit der die Person bei dem Dienst registriert ist.
Die Aktivitäten des Klägers auf seinem Profil bei Facebook stehen der Annahme eines Kausalzusammenhangs ebenfalls nicht entgegen. Aus den zu den Veröffentlichungen des Klägers vorgelegten Unterlagen ergibt sich lediglich, dass dieser die Impfung befürwortet, mit Posts von Anfang August 2021 (Blatt 227 f. und 229 f. der OLG-Akte) eine gerade erfolgte Impfung bekannt gegeben und mit weiterem Post aus dem Januar 2022 (Blatt 94 der LG-Akte) auf seine „Boosterung“ hingewiesen hat. Zudem waren auf Facebook vor dem in Frage stehenden Datenschutzverstoß am 00.00.2021 Vorname und Name des Klägers und sein Geburtstag am 24. Mai (ohne Angabe des Geburtsjahres) veröffentlicht (Blatt 95 der LG-Akte). Diese Facebook-Informationen sind nur für solche Personen einzusehen, die zunächst das Profil des Klägers aufgefunden haben, wozu es entweder erforderlich ist, den Namen oder Namensbestandteile des Klägers zu kennen oder aber – mehr oder weniger zufällig – einen mit einer Reaktion versehenen Post des Klägers zur Kenntnis zu nehmen.
Im Gegensatz dazu enthält die offenbarte Excel-Datei umfassendere Informationen zur Person des Klägers, neben seinem Vornamen, Namen und seinem Geburtstag einschließlich Geburtsjahr namentlich seine Anschrift, E-Mail-Adresse und Mobilfunknummer sowie darüber hinaus noch Angaben zum Datum der Zweitimpfung und zum vorgesehenen Impfstoff. Mit diesen so zusammengestellten Angaben zur Person des Klägers ist dieser unschwer sicher zu identifizieren und unter anderem auch in sozialen Netzwerken leicht ausfindig zu machen. Auch hat der Kläger keine Möglichkeit, eine etwaige Verbreitung dieser Daten zu verhindern. Vor diesem Hintergrund ist der eingetretene Kontrollverlust auch angesichts des eigenen Verhaltens Klägers gleichwohl auf den Verstoß der Beklagten zurückzuführen.
Dass der Kläger darüber hinaus auch auf Messengerdienst01 weitergehende personenbezogenen Daten bekannt gemacht hat, ist von der Beklagten nicht konkret vorgetragen und ergibt sich auch nicht aus dem insoweit vorgelegten Screenshot (Blatt 96 der LG-Akte).
- bb) Im Hinblick auf die E-Mail vom 18.08.2021 ist davon auszugehen, dass diese eine kausale Folge der Offenbarung der personenbezogenen Daten des Klägers einschließlich seiner E-Mail-Adresse ist.
In der E-Mail, in der der Kläger mit vollem Namen angesprochen wird, wird ausdrücklich auf eine „Datenpanne“ in dem von der Beklagten betriebenen Impfzentrum Bezug genommen und angegeben, dass von daher die Daten des Klägers stammen würden. Aufgrund des zeitlichen Zusammenhangs zur Offenbarung der in der Excel-Datei enthaltenen Daten am 00.00.2021 ist der Senat nach der Anhörung der Parteien im Senatstermin davon überzeugt, dass dem Absender oder den Absendern dieser E-Mail Name und E-Mail-Adresse des Klägers aufgrund der offenbarten Excel-Datei bekannt waren. Zwar wäre grundsätzlich auch denkbar, dass der oder die Absender der E-Mail diese Informationen auf anderem Wege erlangt haben könnten. Hierfür gibt es aber keinen Anhaltspunkt. Zudem wäre dann nicht zu erklären, warum in der E-Mail gerade auf die „Datenpanne“ im von der Beklagten betriebenen Impfzentrum Bezug genommen werden sollte. Es ist daher davon auszugehen, dass nur durch den Versand der Excel-Datei der oder die Absender dieser E-Mail Kenntnis vom Namen und der E-Mail-Adresse des Klägers haben konnten. Dass die maßgeblichen Daten aufgrund der Aktivitäten des Klägers in sozialen Netzwerken Dritten bekannt geworden sind, ist nicht erkennbar und es ist auch nicht hinreichend dargetan, dass der Kläger auf diesem Wege seine E-Mail-Adresse und Telefonnummer offenbart hat.
- h) Soweit das Landgericht den dem Kläger zum Ausgleich des ihm entstandenen immateriellen Schadens zustehenden Betrag mit 100,00 Euro bemessen hat, ist hiergegen aus Sicht des Senats nichts zu erinnern.
Ausgehend von dem bereits dargestellten Schadensbegriff gelten bei der Bemessung der Schadenshöhe die im Rahmen von § 253 BGB entwickelten Grundsätze; der Schaden ist nach § 287 ZPO zu schätzen (OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris Rn. 81). Hierbei ist der Erwägungsgrund 146 S. 3 und 6 zur DSGVO zu berücksichtigen, wonach der Begriff des Schadens auf eine Art und Weise auszulegen ist, die den Zielen der Verordnung in vollem Umfang entspricht und die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten sollen. Ergänzend können auch in Art. 83 Abs. 2 DSGVO genannte Kriterien herangezogen werden, obwohl diese Vorschrift nicht die Geltendmachung individueller Entschädigungsansprüche sondern die Verhängung von Geldbußen betrifft; dies gilt insbesondere für Art, Schwere und Dauer des Verstoßes unter Berücksichtigung von Art, Umfang oder Zweck der betreffenden Verarbeitung, den Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorie der betroffenen personenbezogenen Daten (vgl. OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20, juris Rn. 55 f.; OLG Frankfurt, Urteil vom 14.04.2022 – 3 U 21/20, juris Rn. 56; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DSGVO Rn. 31).
- aa) Zunächst ist zu berücksichtigen, dass die in der Excel-Datei enthaltenen personenbezogenen Daten des Klägers, nämlich vollständiger Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse sowie der für die Impfung vorgesehene Impfstoff und das Datum der Impfung sowie Angaben zur Anzahl der Impfungen in ihrer Gesamtheit ein Datenbündel darstellen, welches problemlos die Identifizierung des Klägers ermöglicht. Auch sind hier nicht lediglich personenbezogene Daten des Klägers im Sinne von Art. 4 Nr. 1 DSGVO betroffen, sondern auch Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, welche grundsätzlich besonders sensibel sind, wie auch Art. 9 DSGVO deutlich macht.
Weiter ist in den Blick zu nehmen, dass die Excel-Datei an eine Vielzahl von Personen übersandt wurde. Insoweit hat die Beklagte im Senatstermin klargestellt, dass der Versand an insgesamt 1.200 Personen erfolgte, wobei allerdings ein unmittelbar nach dem Versand erfolgter Rückruf der E-Mail in 500 Fällen Erfolg hatte. Damit haben 700 Personen die Datei erhalten und konnten deren Inhalt auch zur Kenntnis nehmen, da die Datei nicht vor einem einfachen Zugriff geschützt war. Auch ist zu berücksichtigen, dass dieser Versand und damit die Offenbarung der Daten nicht mehr rückgängig zu machen ist. Denn der Kläger hatte bzw. hat keine Möglichkeit, eine etwaige Weitergabe der Daten effektiv zu verhindern oder auch nur zu kontrollieren. Trotz des von der Beklagten unternommenen Versuches, die Empfänger der E-Mail zur Löschung der Datei zu veranlassen, kann eine Weitergabe dieser Dateien an Dritte nicht ausgeschlossen werden.
Damit besteht für den Kläger das Risiko des Erhalts unerwünschter Werbung insbesondere per E-Mail oder von Phishing-E-Mails mit dem Ziel, auf diese Art weitere Informationen vom Kläger zu erlangen. Auch die Möglichkeit eines Identitätsdiebstahls ist ebenso in Betracht zu ziehen wie die Auslösung kostenpflichtiger Bestellungen durch Dritte unter Verwendung der personenbezogenen Daten des Klägers.
Es ist aber auch zu beachten, dass es sich bei den offenbarten personenbezogenen Daten des Klägers im Sinne von Art. 4 Nr. 1 DSGVO lediglich um solche Daten handelt, welche der Sozialsphäre des Klägers zuzuordnen sind. Die Sozialsphäre betrifft den Bereich, in dem sich die persönliche Entfaltung von vornherein im Kontakt mit der Umwelt vollzieht, also insbesondere das berufliche und politische Wirken des Individuums. Demgegenüber umfasst die Privatsphäre sowohl in räumlicher als auch in thematischer Hinsicht den Bereich, zu dem andere grundsätzlich nur Zugang haben, soweit er ihnen gestattet wird. Dies betrifft in thematischer Hinsicht Angelegenheiten, die wegen ihres Informationsinhalts typischerweise als „privat“ eingestuft werden, etwa weil ihre öffentliche Erörterung als unschicklich gilt, das Bekanntwerden als peinlich empfunden wird oder nachteilige Reaktionen in der Umwelt auslöst (BGH, Urteil vom 20.12.2011 – VI ZR 261/10, juris Rn. 16). Nach dieser Maßgabe sind jedenfalls die personenbezogenen Daten des Klägers, die zur Beschreibung seiner Person dienen, der Sozialsphäre zuzuordnen. Demgegenüber waren von dem Verstoß nicht besonders sensible Daten wie etwa Bank- oder Steuerdaten, Zugangsdaten und Kennwörter oder ähnliche Daten betroffen. Soweit Gesundheitsdaten des Klägers im Sinne von Art. 4 Nr. 15 DSGVO offenbart wurden, sind diese zwar der Privatsphäre zuzurechnen. Allerdings darf hier nicht außer Acht gelassen werden, dass insbesondere im Hinblick auf den weiten Begriff der Gesundheitsdaten auch hier deren konkreter Inhalt zu berücksichtigen ist. Aus den offenbarten Daten lässt sich allenfalls das Fehlen einer Kontraindikation in der Person des Klägers bezüglich einer zweiten Impfung nach erfolgter Erstimpfung ableiten, nicht aber konkrete Schlüsse auf eine Erkrankung des Klägers oder eine besondere gesundheitliche Disposition. Damit stellt sich die Offenbarung der Gesundheitsdaten hier als weit weniger schwerwiegend dar, als dies etwa bei der Offenbarung spezifischer Gesundheitsdaten wie eines medizinischen Befundes oder einer ärztlichen Diagnose der Fall wäre.
Weiter ist in den Blick zu nehmen, dass der vom Kläger beanstandete Versand der die personenbezogenen Daten des Klägers enthaltenden Datei von der Beklagten zu keinem Zeitpunkt bezweckt war. Denn im Zuge des Betriebs des Impfzentrums benötigte die Beklagte die Datei einmalig für kurze Zeit zum Zwecke der Organisation des Impfzentrums, namentlich um die von der Änderung der Öffnungszeiten betroffenen Personen hierüber zu informieren. Der Versand der Datei beruhte auf einem Versäumnis der handelnden Mitarbeiter im Zug des Versands der E-Mail an die von der Änderung der Öffnungszeiten betroffenen Personen, war aber zu keinem Zeitpunkt intendiert.
Auch ist zu berücksichtigen, dass die Beklagte mit dem Betrieb des Impfzentrums und den damit im Zusammenhang stehenden Tätigkeiten eine öffentliche Aufgabe wahrgenommen hat und insbesondere nicht mit der Absicht handelte, hierbei in irgendeiner Weise Gewinne zu erzielen. Auch der Versand der E-Mail vom 00.00.2021 stand in keinerlei Zusammenhang mit einer gewinnorientierten Tätigkeit.
Ferner ist der geringe Grad des Verschuldens auf Seiten der Beklagten zu berücksichtigen. Insoweit geht der Senat lediglich von einem fahrlässigen Verhalten der Mitarbeiter der Beklagten aus, welche die E-Mail abgesandt haben. Soweit der Kläger hier von einem vorsätzlichen Verstoß ausgeht, hat er schon nicht dargelegt, welche Umstände die Annahme von Vorsatz rechtfertigen sollten. Auch soweit der Kläger meint, es greife insoweit ein Beweis des ersten Anscheins ein, vermag der Senat dem nicht zu folgen. Die Beweiswürdigungsregel des Anscheinsbeweises ist nur bei regelmäßigen (typischen) Geschehensabläufen anwendbar, die nach der Lebenserfahrung auf eine bestimmte Ursache hinweisen (vgl. Laumen, in: Baumgärtel/Laumen/Prütting, Handbuch der Beweislast, 4. Auflage 2019, Kap. 17 Rn. 10). Es ist schon nicht erkennbar, welcher typischen Geschehensablauf hier aufgrund von Erfahrungssätzen den Schluss auf ein vorsätzliches Verhalten erlauben soll. Allein der Versand einer E-Mail mit einem zuvor nicht entfernten Anhang kann zur Überzeugung des Senats jedenfalls nicht die Annahme rechtfertigen, die Übersendung der angehängten Datei sei vorsätzlich erfolgt. Im Hinblick auf die Darstellung der Beklagten von den Abläufen, die zum Versand der E-Mail nebst angehängter Excel-Datei geführt haben und die der Kläger auch im Senatstermin nicht in Abrede gestellt hat, ist die Annahme vorsätzlichen Verhaltens fernliegend. Vielmehr ist davon auszugehen, dass den betroffenen Mitarbeitern der Beklagten und damit auch der Beklagten allenfalls Fahrlässigkeit vorgeworfen werden kann.
Weiter ist zu berücksichtigen, dass nicht ersichtlich ist, dass es bereits vor dem streitgegenständlichen Vorfall zu einem vergleichbaren Verstoß gekommen ist und sich dieser anlässlich des Versands der E-Mail vom 00.00.2021 wiederholt hätte.
Schließlich zu berücksichtigen, dass die Beklagte alles in ihrer Macht Stehende unternommen hat, um den infolge des Verstoßes aufgetretenen Schaden gering zu halten. So wurde unmittelbar nach dem Versand der Mail der Versuch des Rückrufs der E-Mail unternommen, was bei insgesamt 500 Adressaten auch erfolgreich war. Ferner hat die Beklagte auch die Empfänger der E-Mail aufgerufen, die Daten zu löschen. Darüber hinaus hat die Beklagte den Kläger – sowie alle anderen Betroffenen – bereits kurz nach dem Verstoß mit Schreiben vom 05.08.2021 über diesen und über die offenbarten Daten informiert. Nachdem die Beklagte zudem Kenntnis davon erlangt hatte, dass sich eine Europäische Zentrale für Verbraucherschutz per E-Mail an den Kläger und andere Betroffene gewandt hatte, kam es nach dem unbestrittenen Vorbringen der Beklagten auf deren Betreiben auch zu einem Abschalten der Internetseite Webseite01.
Darüber hinaus hat die Beklagte sich mit Schreiben vom 05.08.2021 beim Kläger entschuldigt und den Vorfall der Aufsichtsbehörde angezeigt.
- bb) Die Tatsache, dass der Kläger auf Facebook als Befürworter der Impfung aufgetreten ist und sich aus dem Profil auch Tag und Monat seines Geburtsdatums ablesen lassen, ist für die Bemessung der dem Kläger zuzusprechenden immateriellen Entschädigung demgegenüber lediglich von untergeordneter Bedeutung. Dies insbesondere deshalb, da die so durch den Kläger offenbarten Daten lediglich einen kleinen Teil der infolge des der Beklagten zuzurechnenden Datenschutzverstoßes offenbarten Daten repräsentieren, damit auch nicht ohne weiteres eine Identifizierung der Person des Klägers ermöglichen und der Kläger zudem auch eine Kontrolle über diese Daten innehat, die er jederzeit löschen kann.
- cc) Im Rahmen der Genugtuungsfunktion des Ersatzanspruchs wegen immaterieller Schäden ist die an den Kläger versandte E-Mail vom 18.08.2021 von Bedeutung. Denn insoweit geht es nicht mehr nur um die bloße Sorge des Klägers vor den Folgen eines Datenschutzverstoßes und des darauf beruhenden Kontrollverlusts; vielmehr hat sich das in dem Datenschutzverstoß liegende Risiko hier bereits verwirklicht. Allerdings ist zu sehen, dass es sich lediglich um eine E-Mail handelt. Weitere konkrete Beeinträchtigungen über den eingetreten Kontrollverlust hinaus, die sich als Folge der Offenbarung der personenbezogenen Daten des Klägers darstellen, hat der Kläger im Senatstermin am 09.12.2022 verneint, sie werden angesichts der seit dem Datenverstoß bereits verstrichenen Zeit auch zunehmend weniger wahrscheinlich. Soweit der Kläger mit seinem Hinweis auf militante Impfgegner auf eine von diesen ausgehende Gefahr körperlicher oder sonstiger Übergriffe aufgrund des Umstands hinweisen will, dass der Kläger selbst eine Impfung befürwortet, hat sich insoweit kein Anhaltspunkt für eine konkrete Beeinträchtigung aufgrund des Datenschutzverstoßes ergeben.
- dd) Soweit der Kläger geltend macht, der vom Landgericht zuerkannte Betrag von 100,00 Euro sei eher symbolischer Natur und habe keinerlei Abschreckungseffekt, so vermag der Senat dem nicht beizutreten.
Im Hinblick auf Erwägungsgrund 146 S. 3 zur DSGVO sollen Schadenersatzforderungen zwar abschrecken und weitere Verstöße unattraktiv gemacht werden (Schaffland/Holthaus, in: Schaffland/Wiltfang, DSGVO/BDSG, Stand: August 2022, Art. 82 DSGVO Rn. 10b). Auch vermag sich ein Abschreckungseffekt vielleicht nicht aus dem dem Kläger zuerkannten Betrag ergeben. Allerdings ist hier in den Blick zu nehmen, dass der der Beklagten zuzurechnende Verstoß gegen die DSGVO hier nicht lediglich den Kläger betrifft, sondern eine Vielzahl weiterer Personen, deren personenbezogene Daten ebenfalls in der übermittelten Excel-Datei enthalten waren. Insoweit gehen die Parteien übereinstimmend davon aus, dass die Datei Daten von insgesamt 13.000 Personen enthielt. Dieser Umstand bietet jedenfalls das Potenzial, das sich aus Ansprüchen vieler Betroffener ein durchaus messbarer finanzieller Schadensbetrag bei der Beklagten einstellt.
- ee) Eine Erhöhung der Entschädigung ist auch nicht im Hinblick auf eine Sanktionswirkung der Entschädigung angezeigt.
Das für die konkrete Bemessung der Höhe maßgebliche deutsche Recht (vgl. Nemitz, in: Ehmann/Selmayr, DSGVO, 2. Auflage 2018, Art. 82 Rn. 17) kennt – anders als die Rechtsordnungen anderer Staaten – keinen Strafschadensersatz. Eine wie auch immer geartete Sanktionswirkung neben dem Ausgleich eines konkret entstandenen immateriellen Schadens ist daher bei der Bemessung der dem Kläger zustehenden Entschädigung nicht in Betracht zu ziehen. Insoweit bestimmt Art. 83 DSGVO, dass die zuständige Aufsichtsbehörde im Falle eines Verstoßes gegen die DSGVO neben einem etwaigen individuellen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO eine Geldbuße verhängen kann.
- ff) Unter Beachtung der vorstehenden Erwägungen hält der Senat bei einer esamtbetrachtung des vorliegenden Falles und seiner Besonderheiten im Hinblick auf den eingetretenen dauerhaften Kontrollverlust und den Erhalt einer unerwünschten E-Mail den durch das Landgericht zuerkannten Betrag in Höhe von 100,00 Euro für angemessen, aber auch ausreichend, um den beim Kläger eingetretenen immateriellen Schaden nach Maßgabe des in der DSGVO geregelten Schadensersatzanspruchs zu kompensieren.
- Ein weitergehender Anspruch folgt auch nicht aus § 839 Abs. 1 S. 1 BGB in Verbindung mit Art. 34 S. 1 GG, der grundsätzlich neben einem Anspruch nach Art. 82 Abs. 1 DSGVO in Betracht kommt.
- a) Der Verstoß gegen die in Deutschland unmittelbar anwendbare DSGVO stellt auch eine Amtspflichtverletzung dar, nämlich eine Verletzung der Pflicht zu gesetzmäßigem Handeln (vgl. Dörr, in: Gsell/Krüger/Lorenz/Reymann, BeckOGK, Stand 01.08.2022, § 839 BGB Rn. 142).
- b) Ein Amtshaftungsanspruch wegen einer Verletzung des hier allein als verletztes Rechtsgut in Betracht kommenden Persönlichkeitsrechts kann auch die Zahlung einer Entschädigung in Geld für immaterielle Nachteile zum Inhalt haben. Eine derartige Geldentschädigung ist jedoch nur zu gewähren, wenn es sich um einen schwerwiegenden Eingriff in das Persönlichkeitsrecht handelt und die erlittene Beeinträchtigung sich nicht auf andere Weise befriedigend ausgleichen lässt. Ob eine schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, die die Zahlung einer Geldentschädigung erfordert, ist aufgrund der gesamten Umstände des Einzelfalles zu beurteilen und hängt insbesondere von der Bedeutung und der Tragweite des Eingriffs, ferner von Anlass und Beweggrund des Handelnden sowie von dem Grad seines Verschuldens ab (BGH, Urteil vom 23.10.2003 – III ZR 9/03, juris Rn. 44). Insoweit kommen letztlich dieselben Gesichtspunkte zum Tragen wie bei der Bemessung des Anspruchs nach Art. 82 Abs. 1 DSGVO. Danach liegt eine schwerwiegende Persönlichkeitsverletzung allerdings nicht vor. Der einmalige Erhalt einer unerwünschten E-Mail sowie der eingetretene Kontrollverlust hinsichtlich personenbezogener Daten, die überwiegend der Sozialsphäre zuzuordnen sind und die – soweit es sich um Gesundheitsdaten handelt – jedenfalls keine hochsensiblen Informationen enthalten, rechtfertigen ohne das Hinzutreten weiterer konkreter Beeinträchtigungen nicht die Annahme einer schwerwiegenden Verletzung des Persönlichkeitsrechts des Klägers. Auch diesen Gesichtspunkt hat das Landgericht zutreffend beurteilt.
- Der – mit der Berufung nicht angegriffene – Zinsanspruch folgt aus §§ 288 Abs. 1 S. 1 und 2, 286 Abs. 1 S. 1 BGB.
- Die Beklagte schuldet dem Kläger nicht den Ersatz der verlangten vorgerichtlichen Rechtsanwaltskosten.
- a) Die Voraussetzungen des vom Kläger im Wege gewillkürter Prozessstandschaft geltend gemachten Anspruchs seiner Rechtsschutzversicherung kann der Senat nicht feststellen.
Von Seiten der Rechtsschutzversicherung auf die Rechtsanwaltskosten geleistete Zahlungen, die den Anspruchsübergang gemäß § 86 VVG bewirkt hätten, hat die Beklagte in erster und zweiter Instanz bestritten. Sie sind vom Kläger weder näher dargetan noch unter Beweis gestellt worden, worauf von Seiten des Senats nicht hinzuweisen war, weil es sich um eine Nebenforderung handelt, § 139 Abs. 2 S. 1 ZPO. Eine bereits geleistete Zahlung ist insbesondere nicht dem Schreiben der C Rechtsschutzversicherung AG vom 20.10.2021 zu entnehmen, mit dem der Kläger seine Ermächtigung zum Geltendmachen des Erstattungsanspruchs belegen will.
Hinzu kommt, dass vorgerichtliche Rechtsanwaltskosten nur nach dem Streitwert von 100,00 Euro und damit in Höhe von 90,96 Euro (63,70 Euro 1,3-fache Geschäftsgebühr, zuzüglich 12,74 Euro Auslagenpauschale, zuzüglich 14,52 Euro 19 Prozent Umsatzsteuer) erstattungsfähig gewesen wären. Sie überstiegen somit den im Schreiben der C Rechtsschutzversicherung AG vom 20.10.2021 genannten Selbstbehalt von 150,00 Euro nicht, so dass der Kläger seine Rechtsschutzversicherung im Ergebnis auch nicht erfolgreich in Anspruch nehmen könnte.
- b) Ob dem Kläger hier ein eigener Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten zusteht, kann der Senat offenlassen, weil der Kläger einen derartigen eigenen Anspruch nicht geltend macht.
III.
Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO in Verbindung mit § 92 Abs. 2 Nr. 1 ZPO analog. Werden – wie hier – wechselseitige Berufungen eingelegt und sind beide erfolglos, so ist im Interesse des Grundsatzes der einheitlichen Kostenentscheidung § 97 Abs. 1 ZPO durch § 92 ZPO zu ergänzen (Schulz, in: Münchener Kommentar zur ZPO, 6. Auflage 2020, § 97 Rn. 11; Jaspersen, in: Vorwerk/Wolf, BeckOK ZPO, 47. Edition, Stand 01.12.2022, § 97 Rn. 15). Nachdem die Berufungsbeschwer der Beklagten im Vergleich zum Streitwert des Verfahrens verhältnismäßig geringfügig war und auch keine höheren Kosten veranlasst hat, waren die Kosten insgesamt dem Kläger aufzuerlegen.
Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711 ZPO.
IV.
Die Revision ist zuzulassen, da bislang eine höchstrichterliche Klärung der für den vorliegenden Fall der Geltendmachung eines Anspruchs auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO maßgeblichen Fragen – soweit ersichtlich – noch nicht erfolgt ist. Dies gilt insbesondere für die Möglichkeit einer Exkulpation entsprechend § 831 Abs. 1 S. 2 BGB, den Begriff des Schadens mit der Frage einer gewissen Erheblichkeit des eingetreten Schadens als Voraussetzung für einen Ersatzanspruch sowie die konkrete Bemessung dieses Anspruchs.
Im Hinblick auf die gebotene europarechtliche Klärung der maßgeblichen Rechtsfragen hat der Senat die Vorlage der für den vorliegenden Fall maßgeblichen Fragen zur Vorabentscheidung an den Europäischen Gerichtshof gemäß Art. 267 AEUV erwogen, sich aber gleichwohl für die Zulassung der Revision entschieden. Bei dem Europäischen Gerichtshof sind bereits mehrere Vorabentscheidungsverfahren anhängig, die auch die im vorliegenden Fall maßgeblichen Fragen betreffen, worauf auch die Beklagte mit der Berufungsbegründung hingewiesen hat. Zudem handelt es sich bei der zugelassenen Revision um ein Rechtsmittel des innerstaatlichen Rechts im Sinne von Art. 267 AEUV, so dass keine Pflicht zur Vorlage an den Europäischen Gerichtshof besteht (vgl. OLG Brandenburg, Beschluss vom 11.08.2021 – 1 U 69/20, juris Rn. 5).
Die Voraussetzungen eines Anspruchs auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO und das Verständnis der Vorschrift im Übrigen ergeben sich weder aus den Bestimmungen der DSGVO noch sind diese Fragen höchstrichterlich geklärt (vgl. BVerfG, Beschluss vom 14.01.2021 – 1 BvR 2853/19, juris Rn. 20). Daher erscheint es dem Senat sachgerecht, zunächst dem Bundesgerichtshof Gelegenheit zu geben, sich mit den maßgeblichen Rechtsfragen zu befassen und über eine Vorlage einzelner Fragen an den Europäischen Gerichtshof zu befinden.