LG Saarbrücken: 5 O 151/19 vom 22.11.2021

5. Zivilkammer

DATENSCHUTZ SCHADENSERSATZ DSGVO LITIGATION PRIVACY LITIGATION

Tags hinzufügen

Sie können dem Inhalt selbst Schlagworten zuordnen. Geben Sie hierfür jeweils ein Schlagwort ein und drücken danach auf sichern, bevor Sie ggf. ein neues Schlagwort eingeben.

Beispiele: "Befangenheit", "Revision", "Ablehnung eines Richters"

QR-Code

Gegenstand

EuGH-Vorlage zur Auslegung von Art. 82 DSGVO. Zur Frage der Erheblichkeit der Beeinträchtigung im immateriellen Schadensersatz und zur Bemesseung seiner Höhe.


Tenor

I.

Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV folgende Fragen zur Auslegung von Kapitel VIII, insbesondere von Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung, DSGVO) vorgelegt:

  1. Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 S. 3  EUV 2016/679 in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit?
  2. Wird die Haftung auf Schadenersatz gemäß Art. 82 Abs. 3 DSGVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer im Sinne von Art. 29 DSGVO unterstellten Person zurückgeführt wird?
  3. Ist bei der Bemessung des immateriellen Schadenersatzes eine Orientierung an den in Art. 83 DSGVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DSGVO genannten Zumessungskriterien erlaubt bzw. geboten?
  4. Ist der Schadenersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere - zumindest mehrere gleichgelagerte - Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht?

II.

Das Verfahren vor dem Landgericht Saarbrücken wird bis zur Vorabentscheidung durch den Gerichtshof der Europäischen Union gemäß § 148 ZPO ausgesetzt.

Gründe

A. Gegenstand des Ausgangsverfahrens

1

1. Der Kläger, der in Deutschland als selbständiger Rechtsanwalt tätig ist, war Kunde der Beklagten, die eine juristische Datenbank betreibt. Nachdem die Beklagte auf ein Auskunftsersuchen des Klägers mitgeteilt hatte, dass die Daten des Klägers auch zur Direktwerbung genutzt wurden, hat der Kläger mit Schreiben vom 06.11.2018 die der Beklagten erteilte Einwilligung, über Recherchedienste, Inhalte und Veranstaltungen durch E-Mail und/oder per Telefon informiert zu werden, und alle etwaig weiteren Einwilligungen widerrufen. Ferner hat er jeglicher Verarbeitung der auf seine Person bezogenen Daten zu werblichen Zwecken (mit Ausnahme der Verarbeitungen, die für die Zusendung der weiterhin von ihm zum Bezug gewünschten Newsletter [xxx] - erforderlich sind) widersprochen.

2

2. Im Januar 2019 erhielt der Kläger unter der Kanzleianschrift, aber ihn persönlich ansprechend per Post zwei Werbeschreiben der Beklagten, jeweils datierend vom 18.01.2019. In Reaktion hierauf teilte der Kläger mit Schreiben vom 18.04.2019 der Beklagten unter erneuter Beifügung des Werbewiderspruchs vom 06.11.2018 mit, dass durch die Erzeugung der Werbeschreiben seine Daten rechtswidrig verarbeitet worden seien, und machte einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO geltend. Unter dem 03.05.2019 übersandte die Beklagte dem Kläger ein weiteres Werbeschreiben, woraufhin der Kläger mit Schreiben vom 15.05.2019, der Beklagten zugestellt durch Gerichtsvollzieher, nochmals seinen Widerspruch erklärte.

3

3. In jedem der genannten Werbeschreiben war ein von der Beklagten als solcher bezeichneter „persönlicher Testcode“, eine individuelle zehnstellige Zeichenfolge, abgedruckt, verbunden mit der Aufforderung an den Adressaten, diesen Code auf der angegebenen Internetseite der Beklagten einzugeben. Am 07.06.2019 ließ der Kläger von einem Notar die in dem Werbeschreiben vom 03.05.2019 angegebene Internetseite öffnen und den persönlichen Testcode eingeben, worauf eine Bestellmaske für Produkte der Beklagten mit Angaben zur Person des Klägers erschien.

4

4. Der Kläger ist der Ansicht, die Beklagte habe auf seine Person bezogene Daten in rechtswidriger Weise verarbeitet und ihn dadurch in seinem Grundrecht aus Art. 8 GRCh dergestalt verletzt, dass er die Kontrolle über seine personenbezogenen Daten verloren habe. Die Beklagte schulde ihm daher nach Art. 82 Abs. 1 DSGVO sowohl materiellen Schadenersatz (Kosten des Gerichtsvollziehers und des Notars) als auch immateriellen Schadenersatz, ohne dass insoweit zusätzliche Voraussetzungen (Auswirkungen oder Erheblichkeit der Rechtsbeeinträchtigung) erfüllt sein müssten.

5

5. Die Beklagte verneint eine Haftung ihrerseits unter Hinweis darauf, dass sie einen Prozess zur Bearbeitung von Werbewidersprüchen implementiert habe und dass die verspätete Berücksichtigung des Werbewiderspruchs darauf beruht habe, dass ein einzelner Mitarbeiter sich weisungswidrig verhalten habe bzw. dass der Widerspruch, nachdem die Schreiben bereits in Auftrag gegeben waren, nur mit unverhältnismäßig hohem Aufwand hätte umgesetzt werden können.

6

Nach Meinung der Beklagten stellt allein der Verstoß gegen die Verpflichtung aus Art. 21 Abs. 3 DSGVO keinen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar.

B. Einschlägige Normen

I. Unionsrecht

Verordnung 2016/679 - Datenschutzgrundverordnung (DSGVO)

6.

Art. 82 Haftung und Recht auf Schadenersatz

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch einen nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Abs. 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

..........

7.

Art. 83 Allgemeine Bedingungen für die Verhängung von Geldbußen

..........

(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Art. 58 Abs. 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs und des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von Ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von Ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um den Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

..........

(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

..........

8.

Erwägungsgrund 85

Eine Verletzung des Schutzes personenbezogener Daten kann - wenn nicht rechtzeitig und angemessen reagiert wird - einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.

..........

9.

Erwägungsgrund 146

Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Licht der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadensersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. ..........

Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. ..........

II. Deutsches Recht

Bürgerliches Gesetzbuch (BGB)

10.

§ 823 Schadensersatzpflicht

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.

(2) Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.

11.

§ 253 Immaterieller Schaden

(1) Wegen eines Schadens, der nicht Vermögensschaden ist, kann Entschädigung in Geld nur in den durch das Gesetz bestimmten Fällen gefordert werden.

(2) Ist wegen einer Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung Schadensersatz zu leisten, kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld gefordert werden.

C. Auslegungszweifel

I. Vorlagefrage 1

7

12. Art. 82 Abs. 1 DSGVO nennt als Anspruchsvoraussetzungen einen Verstoß gegen die Verordnung, einen materiellen oder immateriellen Schaden sowie eine kausale Verbindung zwischen Verstoß und Schaden.

8

Der Kläger stützt seinen Anspruch allein auf den Umstand, dass seine Daten ohne Berücksichtigung seines Widerspruchs verarbeitet worden seien; dadurch sei sein Recht zur Kontrolle über seine personenbezogenen Daten, das durch Art. 8 GRCh verbürgt und durch die DSGVO präzisiert werde, verletzt.

9

13. Vor diesem Hintergrund stellt sich zunächst die Frage, ob bereits ein Verstoß gegen die DSGVO einen Schaden begründen kann, ohne dass weitere Rechtspositionen beeinträchtigt werden. Dies könnte der Fall sein, wenn die verletzte Vorschrift der DSGVO der betroffenen Person ein subjektives Recht verleiht. Könnten demnach ein Verstoß gegen die Verordnung - etwa eine bloß rechtswidrige Verarbeitung von Daten nach Art. 6 Abs. 1 oder die Nichtbeachtung eines Widerspruchs nach Art. 21 Abs. 3 - und der Eintritt eines Schadens zusammenfallen, bedürfte es keiner weiteren Feststellungen dazu, ob eine sonstige Rechtsposition tangiert ist.

10

14. Des Weiteren ist zu klären, ob jegliche Beeinträchtigung der geschützten Rechtsposition zur Begründung eines Ersatzanspruchs genügt.

11

Nach deutschem Recht waren bereits vor Inkrafttreten der DSGVO immaterielle Schadensersatzansprüche wegen Datenschutzverstößen möglich. Denn Datenschutzverstöße können eine Verletzung des allgemeinen Persönlichkeitsrechts darstellen, die Entschädigungsansprüche nach § 823 Abs. 1, § 253 BGB bzw. Art. 8 EMRK begründen können. Eine Verletzung des allgemeinen Persönlichkeitsrechts führt aber nach ständiger Rechtsprechung nur dann zu einem Anspruch auf Geldentschädigung, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend ausgeglichen werden kann (BGH, Urteil vom 14.11.2017, VI ZR 534/15; BGH, Urteil vom 17.12.2013, VI ZR 211/12); verfassungsrechtliche Bedenken hiergegen werden nicht gesehen (BVerfG, Beschluss vom 02.04.2017, 1 BvR 2194/15).

12

15. Ob entsprechende Einschränkungen auch für den in Art. 82 Abs. 1 DSGVO statuierten Anspruch auf Ersatz immaterieller Schäden gelten, erscheint fraglich.

13

Im Hinblick auf Erwägungsgrund 146 Satz 3 und Satz 6 könnte davon auszugehen sein, dass der Begriff des Schadens im Sinne von Art. 82 Abs. 1 DSGVO weit ausgelegt werden soll, zumal in Erwägungsgrund 85 der Verlust der Kontrolle über die personenbezogenen Daten ausdrücklich als Schaden genannt wird. Andererseits wird in Erwägungsgrund 85 auf „erhebliche wirtschaftliche oder gesellschaftliche Nachteile“ abgestellt, was darauf hindeuten könnte, dass jedenfalls Bagatellschäden von einer Entschädigung ausgenommen sein sollen.

II. Vorlagefrage 2

14

16. Nach dem Wortlaut von Art. 82 Abs. 1 DSGVO ist der Schadenersatzanspruch nicht an ein Verschulden des Verantwortlichen bzw. Auftragsverarbeiters geknüpft, so dass davon auszugehen sein dürfte, dass das Verschulden vermutet wird, dies auch im Hinblick auf Art. 82 Abs. 3 DSGVO, wonach der Verantwortliche von der Haftung befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

15

17. Welche konkreten Anforderungen an diesen Nachweis zu stellen sind, ergibt sich aus der Vorschrift nicht, insbesondere bleibt offen, ob „verantwortlich“ im Sinne von vorsätzlich oder fahrlässig zu verstehen ist und welche Bedeutung der Formulierung „in keinerlei Hinsicht“ zukommt.

16

18. Vor diesem Hintergrund gewinnt die Frage Bedeutung, ob die Haftung des Verantwortlichen schon dadurch entfällt, dass dieser sich auf ein Versagen eines Mitarbeiters - hier die unterbliebene Erfassung eines Werbewiderspruchs im System entgegen ausdrücklicher Weisung - beruft. Diese Auslegung von Art. 82 Abs. 3 DSGVO könnte jedoch zu einer nicht unerheblichen Einschränkung des Anspruchs aus Art. 82 Abs. 1 DSGVO führen, wenn der Verantwortliche sich durch den pauschalen Hinweis auf ein Fehlverhalten eines Mitarbeiters seiner Haftung entziehen könnte. Das Tatbestandsmerkmal „in keinerlei Hinsicht“ könnte als Korrektiv hierzu zu verstehen sein, lässt aber nicht erkennen, welche Anforderungen insoweit zu erfüllen sind.

III. Vorlagefrage 3

17

19. Diese Frage zielt darauf ab, nach welchen Kriterien der Umfang der geschuldeten Entschädigung bestimmt werden kann, insbesondere ob einheitliche Kriterien durch die DSGVO vorgegeben sind oder ob sich das Maß der Entschädigung nach den jeweiligen innerstaatlichen Vorschriften richtet.

18

20. Zwar hat Art. 83 DSGVO die Verhängung von Geldbußen zum Gegenstand, doch erscheinen die dort aufgezeigten Zumessungskriterien auch für die Bemessung von Geldentschädigungen für immaterielle Schäden geeignet und effektiv. Zudem würde durch die einheitliche Anwendung dieser Kriterien in allen Mitgliedstaaten dem Gebot des wirksamen Schadenersatzes (Erwägungsgrund 146) Rechnung getragen. Die Vorlagefrage ist hier von besonderer Bedeutung, weil in Art. 83 Abs. 5 DSGVO für bestimmte Verstöße (u.a. gegen Art. 6 und Art. 21 DSGVO) im Falle eines Unternehmens der Jahresumsatz als Bemessungsgröße vorgegeben ist.

IV. Vorlagefrage 4

19

21. Im Ausgangsverfahren fanden mehrfach Datenverarbeitungen zum Zwecke der Direktwerbung statt, obwohl zuvor mehrfach ein Werbewiderspruch erklärt worden war.

20

22. Vor diesem Hintergrund stellt sich die Frage, ob jeder der einzelnen Verstöße gegen die DSGVO isoliert zu behandeln und zu sanktionieren ist oder ob - zumindest für mehrere gleichgelagerte Verstöße - eine Gesamtentschädigung zu bestimmen ist. Daran schließlich sich die Frage an, ob für die zu bildende Gesamtentschädigung Einzelbeträge für jeden Verstoß auszuwerfen sind, die dann in einen Gesamtbetrag - aber nicht durch Addition der Einzelbeträge - Eingang finden oder ob eine Gesamtentschädigung auf der Grundlage einer wertenden Gesamtbetrachtung ermittelt werden soll.

V. Vorlageersuchen

21

23. Der Entschädigungsanspruch nach Art. 82 Abs. 1 DSGVO ist in der Rechtsprechung des Gerichtshofs der Europäischen Union bisher nicht erschöpfend geklärt, die einzelnen Voraussetzungen lassen sich auch nicht unmittelbar aus der DSGVO bestimmen, insbesondere kann ein Merkmal fehlender Erheblichkeit nicht unmittelbar aus der DSGVO hergeleitet werden, so dass eine Vorlage zur Klärung der oben aufgezeigten Fragen geboten erscheint (vgl. BVerfG, Beschluss vom 14.01.2021, 1 BvR 2853/19).

22

24. Der Österreichische Oberste Gerichtshof hat mit Beschluss vom 15.04.2021 (Az.: 60b35/21x) bereits ein Vorabentscheidungsersuchen zu Art. 82 DSGVO an den Gerichtshof der Europäischen Union gerichtet. Dieses steht dem hiesigen Ersuchen nicht entgegen, zumal die Vorlagefragen nur teilweise dieselbe Thematik behandeln.

[Unterschrift]

Zur besseren Lesbarkeit wurden ggf. Tippfehler entfernt oder Formatierungen angepasst.

Meta

5 O 151/19

22.11.2021

LG Saarbrücken 5. Zivilkammer

Beschluss

Sachgebiet: O

Nachegehend: EuGH, Rechtssache C-741/21

Art. 82 DSGVO, §§ 823, 253 BGB

Auf dem Handy öffnen Auf Mobilgerät öffnen.

Ähnliche Entscheidungen

8 AZR 253/20 (A) (Bundesarbeitsgericht)

Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis


31 O 16606/20 (LG München I)

Schadensersatz aus Art. 82 Abs. 1DSGVO wegen Datendiebstahls bei der Verantwortlichen; Verschulden der Verantwortlichen durch …


3 O 12/20 (LG Mainz)

Schadensersatz wegen falscher Negativmeldung an Wirtschaftsauskunftei; 5000 Euro aus Art. 82 DSGVO.


16 O 128/20 (LG Düsseldorf)

Zur Erfüllung des Anspruchs auf Auskunft nach Art. 15 DSGVO; zur Auslegung des Art. 82 …


4 U 324/21 (OLG Dresden)

Datenverarbeitung durch physische Zerstörung einer Festplatte im Rahmen einer vertraglichen Garantie; konkludente Zustimmung in diese …


Referenzen
Wird zitiert von

Keine Referenz gefunden.

Zitiert

1 BvR 2853/19

1 BvR 2194/15

VI ZR 211/12

VI ZR 534/15

Literatur & Presse BETA

Diese Funktion steht nur angemeldeten Nutzern zur Verfügung.

Anmelden
Aktionen
Zitieren mit Quelle:

TextmarkerBETA

x

Schnellsuche

Suchen Sie z.B.: "13 BGB" oder "I ZR 228/19". Die Suche ist auf schnelles Navigieren optimiert. Erstes Ergebnis mit Enter aufrufen.
Für die Volltextsuche in Urteilen klicken Sie bitte hier.