Aufsätze : DS‑GVO und immaterieller Schadenersatz in der Praxis : aus der RDV 1/2025, Seite 10 bis 17

Ergänzt werden die Ausführungen zur Rechtsprechung des EuGH durch einschlägige aktuelle Entscheidungen deutscher Gerichte. Hervorzuheben ist in diesem Zusammenhang das sog. Facebook-Scraping-Urteil des BGH vom 18. November 2024, das im Rahmen der neuen Leitentscheidungsverfahren gem. § 552b ZPO ergangen ist. Darüber hinaus gibt der Beitrag einen kennzeichnenden Querschnitt vorrangig der oberlandesgerichtlichen Judikatur, die zum immateriellen Schadenersatz und dabei insbesondere zu Scraping-Fällen ergangen ist. Wie aufgezeigt wird, argumentiert der EuGH Betroffenen-freundlich dahingehend,^[3] dass dem immateriellen Schadenersatz ein weites Anwendungsfeld gegeben ist. Diese weite Rechtsprechung des europäischen Gerichtshofs hat aufseiten vieler deutscher Oberlandesgerichte, die über die praktischen Folgen der EuGH-Rechtsprechung zu entscheiden hatten, zu der – mutmaßlichen – Sorge geführt, damit potenziellen Masseverfahren Vorschub zu leisten. Es hat daher den Anschein, dass die Gerichte versucht waren, die Auswirkungen der Judikatur des EuGH auf den deutschen Anwendungsbereich abzufedern. Diesem restriktiven Praxisansatz setzte der BGH zumindest punktuell einen vorläufigen Schlusspunkt, indem er u.a. feststellte, dass der bloße Kontrollverlust für sich genommen einen ersatzfähigen Schaden gem. Art. 82 DS-GVO darstellen kann.^[4]

Der Beitrag richtet sich primär an praktizierende Richter und Anwälte sowie an weitere Praktiker im Bereich des immateriellen Schadenersatzes gem. Art. 82 DS-GVO. Es werden im Rahmen der Erläuterungen der Tatbestandsmerkmale relevante Praxishinweise gegeben, in denen die jeweilige Darlegungs- und Beweislast thematisiert wird.

I. Tatbestandsvoraussetzungen nach dem EuGH

In dem Urteil „Österreichische Post“ stellte der EuGH zunächst klar, dass der bloße Verstoß gegen die DS-GVO nicht ausreicht, um einen Schadenersatzanspruch gem. Art.  82 Abs. 1 DS-GVO zu begründen.^[5] Vielmehr bedarf es u.a. zusätzlich eines eingetretenen Schadens, womit sich der Gerichtshof zum o. g. Urteil des Bundesarbeitsgerichts von 2021 positionierte. Der EuGH stützte sich dabei auf den Wortlaut des Art. 82 Abs. 1 DS-GVO, der zwischen dem Verstoß und dem Schaden unterscheidet.^[6]Bestätigung findet diese Schlussfolgerung in ErwG 146 S. 1 DS-GVO, worin ebenfalls zwischen einer (rechtswidrigen) Datenverarbeitung und einem daraus entstandenen Schaden unterschieden wird.^[7]

Hieraus folgt, dass zum Ersatz des immateriellen Schadens gem. Art. 82 DS-GVO drei Voraussetzungen erfüllt sein müssen. Die Voraussetzungen sind: 1.) ein Verstoß gegen die DS-GVO, 2.) ein eingetretener Schaden und 3.) ein Kausalzusammenhang zwischen Schaden und Verstoß.^[8] Alle drei Voraussetzungen müssen kumulativ vorliegen.

In dem Urteil „Ummendorf“ bestätigte der EuGH die Trias der Tatbestandsvoraussetzungen und ergänzte diese um ein Verschuldenselement. Nach Ansicht des Gerichtshofs wird das Verschulden vermutet, wobei der Verantwortliche die Möglichkeit hat, nachzuweisen, „dass die Handlung, die den Schadenverursacht hat, ihm nicht zurechenbar ist“.^[9] Im Kern begründet der EuGH das vermutete Verschulden mit einer kombinierten Analyse des Schadenersatzanspruchs gem. Art. 82 Abs. 1 und 2 DS-GVO und der Regelung des Art. 82 Abs. 3 DS-GVO.^[10]

Damit ergeben sich für den Ersatz des immateriellen Schadens gem. Art.  82 DS-GVO die folgenden vier Tatbestandsvoraussetzungen: 1.) Verstoß gegen die DS-GVO, 2.) vermutetes Verschulden, 3.) Schaden und 4.) Kausalzusammenhang zwischen Schaden und Verstoß. Diese Voraussetzungen werden in diesem Beitrag daher auch nachfolgend herausgestellt und erläutert.

II. „Negative Folgen“ als Tatbestandsvoraussetzung?

Ungeachtet der zuvor skizzierten Rechtsprechung des EuGH zu den vier Voraussetzungen des Art. 82 DS-GVO zeigte sich die kurzzeitige Tendenz, die „negativen Folgen“ als weitere eigenständige Tatbestandsvoraussetzung vorzusehen. Ein Ausgangspunkt hierfür war ein Urteil des OLG München vom 24. April 2024, mit dem ein Verantwortlichen-freundlicher Weg gewählt wurde. In dem Urteil setzte das OLG München zur Begründung eines immateriellen Schadenersatzes nach einem Scraping-Vorfall die negative Folge als weiteres Tatbestandsmerkmal wie folgt voraus: „Dreistufigkeit der Prüfung (Verstoß gegen DS-GVO -> negative Folge, z.B. Kontrollverlust -> Schaden)“.^[11] Damit forderte das OLG München im Ergebnis aber mehr als der EuGH.

Dass der EuGH die negativen Folgen nicht als ausdrückliches Tatbestandsmerkmal genannt hatte, als er die Voraussetzungen des immateriellen Schadenersatzes aufzählte, sprach bereits gegen die Ansicht des OLG München. Vielmehr hat der EuGH die negativen Folgen ausdrücklich als Schaden erfasst.^[12] Im Verfahren „Bulg. Handelsregister“ vom 4. Oktober 2024 hat der EuGH überdies klargestellt, dass Betroffene keine negativen Folgen nachzuweisen hätten, um einen Schaden gem. Art. 82 DS-GVO zu begründen.^[13]Dieser Ansicht schloss sich dann auch der BGH im Scraping-Urteil an.^[14]

Damit ist festzuhalten, dass die Ansicht des OLG München, und die einiger kommentierender Praktiker, die negativen Folgen als eigenständige Tatbestandsvoraussetzung neben dem Verstoß und dem Schaden zu verstehen, abzulehnen ist. In den folgenden Ausführungen werden die negativen Folgen daher nicht als eigenes Tatbestandsmerkmal behandelt.

III. Die Voraussetzungen des immateriellen Schadenersatzes

Nachfolgend werden die einzelnen Voraussetzungen des immateriellen Schadenersatzes gem. Art. 82 DS-GVO thematisiert. Dazu wird das jeweilige Tatbestandsmerkmal inhaltlich bestimmt und anschließend mit einem Praxishinweis versehen.

1. Verstoß gegen die DS‑GVO

Die erste Voraussetzung des immateriellen Schadenersatzes bildet der Verstoß gegen die DS-GVO gem. Art. 82 Abs. 1 DS-GVO. In den gegenständlichen Urteilen hatte sich der EuGH hierzu wie folgt geäußert:

a) Inhalt

„Verstoß gegen die DS‑GVO“ In dem Urteil „Dt. Steuerberaterkanzlei“ hatte sich der EuGH u.a. mit der Frage zu befassen, ob ein Verstoß nur gegen die DS-GVO den immateriellen Schadenersatz auslösen kann oder ob auch ein Verstoß gegen andere Normen in Frage kommt. Nach dem Wortlaut des Art. 82 Abs. 1 DS-GVO wird ein „Verstoß gegen diese Verordnung“ vorausgesetzt.

Zur Beantwortung nimmt der EuGH Bezug auf den ErwG 146 S. 5 DS-GVO. Demnach können auch Verstöße gegen „nach Maßgabe der vorliegenden Verordnung erlassene delegierte Rechtsakte und Durchführungsrechtsakte und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung“ einen immateriellen Schadenersatz begründen.^[15] Die genannten Anforderungen erfüllen jedoch diejenigen Normen nicht, die zwar auf den Datenschutz gerichtet sind, aber nicht bezwecken, die DS-GVO zu präzisieren. Dies dürfte z.B. bei Datenschutznormen einschlägig sein, die vor dem Inkrafttreten der DS-GVO erlassen wurden. In der Praxis sollten also die Normen, gegen die verstoßen worden sein soll, und die keine Regelung der DS-GVO sind, auf Ihre Tauglichkeit bzw. Präzisierung der DS-GVO hin überprüft werden.

Im Verfahren „NAP“ hatte der Gerichtshof konkret zu klären, ob eine unbefugte Offenlegung oder die Verschaffung eines unbefugten Zugangs zu personenbezogenen Daten durch Dritte ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen („TOM“) gem. Art. 24 und Art.  32 DS-GVO nicht geeignet waren. In der Konsequenz hätte dies einen Verstoß gegen die DS-GVO begründet. Den Hintergrund des Verfahrens bildete ein erfolgreicher Hackerangriff gegen die IT-Infrastruktur der bulgarischen Agentur für Einnahmen (= NAP), woraufhin personenbezogene Daten im Internet veröffentlicht wurden

Der EuGH führte hierzu aus, dass der Verantwortliche gem. Art. 24 und Art. 32 DS-GVO jede Verletzung des Schutzes personenbezogener Daten „so weit wie möglich verhindern“ soll.^[16] Ob die ergriffenen TOM ungeeignet waren, und damit ein Verstoß gegen die DS-GVO vorliegt, ist eine Frage des Einzelfalls. Ein erfolgreicher Cyberangriff macht die ergriffenen TOM nicht per se ungeeignet. Daher kann mit dem EuGH nicht geschlussfolgert werden, dass allein die unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch Dritte ausreicht, um einen Verstoß gegen die DS-GVO zu begründen.^[17]

Zum gleichen Ergebnis gelangte der Gerichtshof im Urteil „MediaMarktSaturn“. Der EuGH hatte die Vorlagefrage zu beantworten, ob die vom Verantwortlichen ergriffenen TOM ungeeignet waren, weil ein Mitarbeiter des Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten herausgegeben hatte. Der EuGH verneinte diese pauschale Schlussfolgerung mit der Begründung, dass ein nationales Gericht nicht nur den Umstand der irrtümlichen Herausgabe der personenbezogenen Daten heranzuziehen hat, sondern sämtliche Beweise, um die Geeignetheit der TOM gem. Art. 24 und Art. 32 DS-GVO zu überprüfen.^[18]

b) Praxishinweise

Hinsichtlich der Darlegungs- und Beweislast für das Vorliegen des Verstoßes gegen den Datenschutz hat der EuGH festgelegt, dass „die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DS-GVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Regeln für die Beweismittel“ Aufgabe der innerstaatlichen Rechtsordnung ist.^[19] Nach den allgemeinen zivilprozessualen Grundsätzen der deutschen Rechtsordnung liegt die Darlegungs- und Beweislast beim Anspruchsteller, der seine den Anspruch begründenden Tatsachen darlegen und ggf. beweisen muss.^[20]

Allerdings wird in Anbetracht der Rechenschaftspflicht gem. Art.  5 Abs.  2 DS-GVO des Verantwortlichen diskutiert, ob in Hinblick auf den Verstoß ausnahmsweise der Verantwortliche die Beweislast trägt.^[21] Diese Auffassung vertrat jedenfalls das OLG Hamm in einem Urt. v. 15.08.2023. Nach Auffassung des OLG Hamm tritt gem. Art.  5 Abs.  2 DS-GVO eine Beweislastumkehr ein, wonach der Verantwortliche für das Nichtvorliegen eines Verstoßes gegen den Datenschutz beweisbelastet ist.^[22] Eine belastbare Begründung liefert das OLG Hamm hingegen nicht.

Die Rechenschaftspflicht gem. Art. 5 Abs. 2 DS-GVO hat den Zweck, den Art. 58 Abs. 1 lit. a) DS-GVO zu flankieren. Nach dieser Regelung können die Aufsichtsbehörden den Verantwortlichen auffordern, bestimmte Informationen bereitzustellen. Nach herrschender Meinung handelt es sich bei der Rechenschaftspflicht aber nicht um eine Beweislastregelung der DS-GVO,^[23] sondern um eine Regelung eines öffentlich-rechtlichen Verhältnisses zur Aufsichtsbehörde. Die Ansicht des OLG Hamm ist daher abzulehnen.

2. Verschulden

Im Urteil „Österreichische Post“ hatte der EuGH das Verschuldenselement nicht als ausdrückliches Tatbestandsmerkmal des immateriellen Schadenersatzes identifiziert. In der deutschen Literatur hat das zwischenzeitlich zu der Ansicht geführt, dass ein Verschulden beim immateriellen Schadenersatz nicht zu fordern sei.^[24]Im Urteil „MDK Nordrhein“ stellte der EuGH jedoch klar, dass das – vermutete – Verschulden eine weitere Tatbestandsvoraussetzung des immateriellen Schadenersatzes gem. Art. 82 DS-GVO ist.^[25]

a) Inhalt

„Verschulden“ Vor Verkündung des Urteils in der Rechtssache „MDK Nordrhein“ war in der deutschen Rechtsordnung umstritten, ob es sich bei Art.  82 DS-GVO um eine Verschuldenshaftung oder um eine verschuldensunabhängige Gefährdungshaftung handelt.^[26] Mit dem MDK-Nordrhein-Urteil des EuGH ist nunmehr entschieden worden, dass es sich beim immateriellen Schadenersatz um eine Verschuldenshaftung handelt. Hinsichtlich der Ersatzpflicht des Verantwortlichen bzw. des Auftragsverarbeiters ist daher zu fordern, dass der Verstoß gegen den Datenschutz entweder vorsätzlich oder fahrlässig begangen wurde.^[27]

b) Praxishinweise

Der zivilprozessuale Grundsatz, dass der Anspruchsteller für die anspruchsbegründenden Umstände die Darlegungs- und Beweislast trägt, gilt nicht beim Verschulden des Art. 82 DS-GVO: In dem Urteil „MDK Nordrhein“ hatte der Gerichtshof nicht nur das Verschulden des immateriellen Schadenersatzes herausgestellt. Zugleich erklärte er, dass das Verschulden aufseiten des Verantwortlichen bzw. Auftragsverarbeiters zu vermuten ist.^[28] Bestätigt hat dies der EuGH im späteren Verfahren „Bulg. Handelsregister“.^[29]Für die Praxis folgt daraus, dass der Anspruchsteller lediglich das vermutete Verschulden im Sachvortrag darlegen muss. Aber anschließend wäre er nicht beweisbelastet.

3. Immaterieller Schaden

Im Zentrum der gegenständlichen Urteile des EuGH stand indes der Begriff des immateriellen Schadens, der nachfolgend analysiert wird. Die Erläuterungen zu Inhalt und Anwendung in der Praxis werden zudem ergänzt durch einschlägige Urteile aus der deutschen Rechtsprechung.

a) Inhalt

„Immaterieller Schaden“ Den Ausgangspunkt der folgenden Ausführungen bildet der Befund, dass der Begriff „immaterieller Schaden“ in Art.  82 Abs. 1 DS-GVO nur genannt wird. Eine Definition wird nicht gegeben. Letzteres gilt auch für den ErwG 146 DS-GVO, der speziell den Schadenersatzanspruch gem. Art. 82 Abs. 1 betrifft.^[30]

aa) Keine Erheblichkeitsschwelle/Bagatellgrenze

Jedenfalls hat sich der Gerichtshof zu der Frage geäußert, ob der immaterielle Schadenersatz von den nationalen Gerichten erfordert, festzustellen, dass der Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Konkret ging es im Verfahren „Österreichische Post“ um vorübergehende gefühlsmäßige Beeinträchtigungen wie Ärgernis, Vertrauensverlust und ein Gefühl der Bloßstellung^[31] und im Verfahren „Ummendorf“ um den kurzfristigen Verlust des Betroffenen über die Hoheit seiner personenbezogenen Daten (Kontrollverlust).^[32] Der EuGH stellte zusammenfassend fest, dass Art. 82 DS-GVO einer nationalen Regelung entgegensteht, sofern diese für den Ersatz eines immateriellen Schadens eine Erheblichkeitsschwelle vorsieht^[33] bzw. das Überschreiten einer Bagatellgrenze.^[34] Zur Begründung führte der Gerichtshof den Wortlaut des Art.  82 DS-GVO sowie den ErwG 146 DS-GVO an, woraus sich jeweils keine Erheblichkeitsschwelle/Bagatellgrenze ergibt.^[35] Zudem könnte es aufgrund der Vielzahl und Verschiedenartigkeit der nationalen Gerichte der Mitgliedstaaten zu unvereinbaren Urteilen in der Höhe des Schadens kommen. Dies stünde aber dem Grundsatz der unionsweiten gleichmäßigen und einheitlichen Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Betroffenen entgegen.^[36]

bb) Befürchtung als Schaden

Bemerkenswert waren die Ausführungen des EuGH zum immateriellen Schadenersatz im Verfahren „NAP“, dem bekanntlich ein erfolgreicher Hackerangriff zugrunde lag. Der Gerichtshof hatte die Frage zu beantworten, ob allein die Befürchtung des Anspruchstellers, seine personenbezogenen Daten könnten nach einem Datenschutzverstoß durch Dritte missbräuchlich verwendet werden, einen immateriellen Schaden darstellen kann. Der EuGH bejahte diese Frage.^[37] Er argumentierte, dass der Begriff des Schadens weit auszulegen ist und dass ein Ausschluss von Fällen der Befürchtung, dass die personenbezogenen Daten zukünftig missbraucht werden könnten, dieser weiten Auslegung nicht entspricht.^[38] Zudem ergibt sich aus ErwG 85 S. 1 DS-GVO, dass insbesondere der bloße Verlust der Kontrolle über die eigenen Daten als Schaden nach der DS-GVO erfasst wurde, selbst wenn keine konkrete missbräuchliche Verwendung der Daten erfolgen sollte.^[39]

Diese weite Auslegung des immateriellen Schadensbegriff erfuhr im Verfahren „MediaMarktSaturn“ eine Konkretisierung. Wenngleich die Befürchtung einer missbräuchlichen Verwendung der personenbezogenen Daten einen Schaden darstellen kann, reicht ein „rein hypothetisches Risiko der missbräuchlichen Verwendung“ nicht aus. Die bloße Möglichkeit also, ohne dass Dritte tatsächlich Kenntnis von den personenbezogenen Daten nehmen, stellt keinen Schaden dar.^[40] Das ist z.B. gegeben, wenn ein Mitarbeiter eines Verantwortlichen irrtümlich Vertragsunterlagen eines Kunden an einen anderen Kunden herausgibt und diese Unterlagen nach ca. 30 Minuten zurückgelangen, ohne dass der andere Kunde – nachweislich – Kenntnis von den personenbezogenen Daten nahm.

Zusammenfassend bedeutet das, dass die Befürchtung, es könnte aufgrund eines vorangegangenen Hackerangriffs zu einer missbräuchlichen Verwendung der personenbezogenen Daten durch Dritte kommen, einen Schaden gem. Art.  82 DS-GVO darstellen kann. Ist jedoch ausgeschlossen, dass Dritte Kenntnis von den personenbezogenen Daten genommen haben, liegt nach dem EuGH kein Schaden vor.

cc) Kontrollverlust als Schaden

Von praktischer Bedeutung sind auch die Ausführungen des EuGH und der deutschen Judikatur zum Kontrollverlust als Schaden. In diesem Zusammenhang ist zunächst festzustellen, dass auch der Begriff des Kontrollverlustes nicht definiert ist. Eine Definition ergibt sich weder aus der DS-GVO, den ErwGn oder der Rechtsprechung des EuGH.

Ungeachtet dessen hat der EuGH den Verlust der Kontrolle über die eigenen personenbezogenen Daten als immateriellen Schaden gem. Art.  82 DS-GVO bewertet. Er stellte klar, dass selbst ein kurzzeitiger^[41] Kontrollverlust einen Schaden darstellen kann, möge der Kontrollverlust noch „so geringfügig“ sein.^[42] In diesem Zusammenhang drängt sich unweigerlich die Frage auf, ob die verspätete Erteilung der Auskunft gem. Art. 15 DS-GVO zu einem Kontrollverlust beim Anspruchsteller führt und damit zu einem Schaden. Das Bundesarbeitsgericht hat diese Frage in einem Urt. v. 20.06.2024 jedenfalls verneint.^[43]

Insgesamt ist zu beobachten, dass sich die deutschen Gerichte mit der Einordnung des Kontrollverlustes als Schaden – trotz der klaren Rechtsprechung des EuGH – schwertut. Ein Teil der Gerichte scheint diese Schlussfolgerung ohnehin abzulehnen.^[44] Ein anderer Teil erkennt den Kontrollverlust zwar als Schaden grundsätzlich an, verneint jedoch im Anschluss dessen Vorliegen aus tatsächlichen Gründen.^[45] Diese Uneinheitlichkeit dürfte nunmehr jedoch ein Ende gefunden haben, da der BGH im Scraping-Fall festgestellt hat, dass der Kontrollverlust auch in Deutschland ein Schaden gem. Art. 82 DS-GVO sein kann.^[46]

b) Praxishinweise

Genauso wie bei den anderen Tatbestandsmerkmalen – mit Ausnahme des Verschuldens – trägt der Anspruchsteller beim Schaden die Darlegungs- und Beweislast.^[47] Dabei ist zu berücksichtigen, dass es für Anspruchsteller (gerade nach den Entscheidungen der deutschen Gerichte) grundsätzlich eine besondere Herausforderung darstellen kann, das Vorliegen eines immateriellen Schadenersatzes darzulegen und zu beweisen.^[48]

Der EuGH hat in dieser Hinsicht festgehalten, dass der Anspruchsteller den Nachweis darüber zu erbringen hat, dass ein immaterieller Schaden eingetreten ist.^[49] Nur weil es keine Erheblichkeitsschwelle oder Bagatellgrenze gibt, folgt daraus nicht, dass kein Nachweis des Schadens erforderlich wäre. Immerhin führt ein Verstoß gegen die DS-GVO nicht zwangsläufig zu einem Schadenersatz.

aa) Darlegungs- und Beweislast nach dem EuGH

Bei der Darlegungs- und Beweislast bezüglich des Schadens in Form der Befürchtung der missbräuchlichen Verwendung hat der EuGH eine gesonderte Anforderung aufgestellt. Demnach haben die nationalen Gerichte zu prüfen, ob die Befürchtung der missbräuchlichen Verwendung auch „begründet“ ist. Wie genau die begründete Befürchtung festzustellen ist, erläuterte der EuGH nicht. Lediglich zu den Prüfungskriterien äußerte er sich dahingehend, dass sich die begründete Befürchtung der missbräuchlichen Verwendung der personenbezogenen Daten durch Dritte aus den gegebenen Umständen und hinsichtlich der betroffenen Person ergeben muss.^[50] Zudem ergänzte der EuGH im Verfahren „Dt. Steuerkanzlei“, dass der Anspruchsteller nicht nachzuweisen habe, dass im Anschluss eines Verstoßes gegen den Datenschutz auch tatsächlich eine Weitergabe an Dritte erfolgte. Nachzuweisen habe der Anspruchsteller die begründete Befürchtung mitsamt bzw. inklusive ihrer negativen Folgen.^[51]

bb) Darlegungs- und Beweislast nach der deutschen Rechtsprechung

Nach einem Urteil des OLG Hamm, das in einem Scraping-Fall entschieden hat, ist der Anspruchsteller bezüglich der Darlegungs- und Beweislast des immateriellen Schadens grundsätzlich gehalten, Umstände darzulegen, in denen sich seine erlebten Empfindungen widerspiegeln und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hatte. Unzureichend ist ein nicht näher konkretisierter Vortrag – ohne konkret-individuelle Ausführungen des Anspruchstellers – zu den Gefühlen eines Kontrollverlustes, eines Beobachtetwerdens und einer Hilflosigkeit. Denn mit solch einem Sachvortrag würden nicht genügend Beweisanzeichen objektiver Art vorgetragen, in denen sich solche Gefühle konkret widerspiegeln.^[52]

Die zuvor genannten Anforderungen des OLG Hamm übernahm das OLG Dresden in einem Urt. v. 23.01.2024 konkret zur Darlegungs- und Beweislast der begründeten Befürchtung als Schaden. Diese Befürchtung muss vom Anspruchsteller gem. §  286 ZPO „hinreichend konkret dargelegt und glaubhaft gemacht“ werden, da es sich um innere Tatsachen handelt, die dem Beweis nur eingeschränkt zugänglich sind und auf sie nur mittelbar von äußeren Tatsachen geschlossen werden kann.^[53] Zur begründeten Befürchtung wäre u.a. zum Umgang des Anspruchstellers mit seinen Daten vor dem Datenschutzverstoß vorzutragen (z.B. Weitergabe an Dritte) sowie zur Frage, ob eine Veröffentlichung Auswirkungen auf die Lebensführung hatte und welche Konsequenzen der Anspruchsteller aus den Verstoß gezogen hat (z.B. Wechsel der Telefonnummer).

Schließlich reicht nach dem OLG Stuttgart der Vortrag des Anspruchstellers „eine mit dem Verlust der Daten seelisch belastende Ungewissheit über das Schicksal der Daten“ sei eingetreten, nicht aus, um die begründete Befürchtung eines Missbrauchs der Daten darzulegen. Allerdings hat das OLG Stuttgart nicht erläutert, wie die begründete Befürchtung eines immateriellen Schadenersatzes darzulegen und zu beweisen ist.^[54] Diese Frage blieb offen.

Das BAG hat zur Darlegung und ggf. zum Beweis der begründeten Befürchtung ausgeführt, dass das bloße Berufen auf die Gefühlslage nicht ausreichend ist. Da negative Gefühle objektiv nicht beweisbar sind, bedarf es der tatrichterlichen Beurteilung der „Gesamtsituation und letztlich auch [der] Glaubwürdigkeit der Klagepartei auf der Grundlage eines substanziierten Sachvortrages.“^[55] Sind diese Voraussetzungen erfüllt, mindert sich das Beweismaß in Bezug auf die Entstehung und der Höhe des Schadens gem. § 287 Abs. 1 ZPO.

Als Zwischenergebnis ist damit festzuhalten, dass die deutschen Gerichte hohe Anforderungen an die Darlegungsund Beweislast zur begründeten Befürchtung als Schaden stellen. Diese Anforderungen dürfte den Verantwortlichen zupasskommen, die somit die Durchsetzung von Schadenersatzforderungen der Anspruchsteller erschweren können.

Gleichwohl hat der BGH im Scraping-Fall – im Rahmen des Kontrollverlustes – darauf hingewiesen, dass keine „überspannten“ Anforderungen an die Darlegungslast beim Anspruchsteller gestellt werden dürfen.^[56] Anders als z.B. das OLG Dresden in seinem o. g. Urt. v. 23.01. 2024 hält der BGH den Sachvortrag des Anspruchstellers, die personenbezogenen Daten in der Vergangenheit nur gezielt und ausgewählt weitergegeben zu haben, für ausreichend, um einen Kontrollverlust substanziiert begründen zu können. Zudem ist u.a. der Vortrag des Anspruchstellers, er befinde sich infolge eines Datenschutzverstoßes – hier: Hackerangriff auf Facebook-Accounts – in einem Zustand großen Unwohlseins und in Sorge um den Missbrauch seiner personenbezogenen Daten durch Dritte, substanziiert, um einen Schaden darzulegen. ^[57]Für Anspruchsteller wiederum bedeuten diese Ausführungen des BGH eine Vereinfachung der Durchsetzung von Schadenersatzansprüchen.

4. Kausalzusammenhang

Eine weitere Voraussetzung für den immateriellen Schadenersatz gem. Art. 82 DS-GVO auf Tatbestandseite ist die Kausalität zwischen Schaden und Verstoß gegen den Datenschutz. Erstattet werden nur solche immateriellen Schäden, die kausal durch einen Datenschutzverstoß verursacht wurden.

a) Inhalt

„Kausalzusammenhang“ Dass die Kausalität zwischen Schaden und Datenschutzverstoß eine weitere kumulative Voraussetzung des immateriellen Schadenersatzes gem. Art.  82 DS-GVO bildet, hatte der EuGH erstmalig im Verfahren „Österreichische Post“ festgestellt^[58] und in den folgenden Entscheidungen weiterhin zugrunde gelegt. Den EuGH-Urteilen lassen sich aber keine Hinweise darauf entnehmen, wie die Kausalität ausgestaltet ist.

Auch in der deutschen Rechtsprechung sind entsprechende Ausführungen selten. Dennoch hat das OLG Hamm in seinem Urt. v. 15.08.2023 die Äquivalenztheorie (conditio-sine-quanon-Formel) zur Begründung der Kausalität angewendet.^[59] Demgegenüber hatte das LG München I im Rahmen des Art. 82 Abs. 1 DS-GVO festgestellt, dass „es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre.“^[60] Damit hat sich das Landgericht München I für die Anwendung der Adäquanztheorie entschieden – freilich ohne weitere Begründung.

Dass Kausalitätstheorien zu unterschiedlichen Ergebnissen führen können, und daher praxisrelevant sind, zeigt das folgende Beispiel: Ein Mitarbeiter eines Verantwortlichen vergisst, ein Sicherheitsupdate zu installieren. Anschließend kommt es zu einem Cyberangriff, in dessen Zuge personenbezogene Daten im Darknet veröffentlicht werden. Nach der Äquivalenztheorie wäre das Unterlassen der Installation des Sicherheitsupdates kausal für die Veröffentlichung im Darknet, da das Unterlassen nicht hinweggedacht werden könnte, ohne dass es zur Veröffentlichung gekommen wäre. Gemäß der Adäquanztheorie ist – zusammengefasst – zu prüfen, ob das Sicherheitsupdate die Veröffentlichung nach der allgemeinen Lebenserfahrung und den Umständen des Einzelfalls verhindert hätte. Wäre dies nicht der Fall, wie es bei gezielten Hackerangriffen oftmals der Fall ist, wäre keine Kausalität gegeben.

Das Beispiel verdeutlicht, dass die Bestimmung der anwendbaren Kausalitätstheorie in der Praxis von erheblicher Relevanz sein kann.

Aus der deutschen Kommentarliteratur ergibt sich, dass die Kausalität des Art. 82 DS-GVO unter Anwendung der Adäquanztheorie zu begründen ist.^[61] Demnach hat der Verantwortliche nur solche Schäden zu ersetzten, mit deren Eintritt nach der allgemeinen Lebenserfahrung vernünftigerweise zu rechnen war. Eine völlig außergewöhnliche Verkettung von Umständen, die einen atypischen Kausalverlauf bilden, sind nicht erstattungsfähig. Dieser Ansicht, die Adäquanztheorie im Rahmen des immateriellen Schadenersatzes gem. Art. 82 DS-GVO anzuwenden, ist zu folgen.

b) Praxishinweise

Hinsichtlich der Darlegungs- und Beweislast ergeben sich für die Kausalität keine Ausnahmen vom allgemeinen zivilrechtlichen Grundsatz, wonach der Anspruchsteller die anspruchsbegründenden Umstände darlegen und ggf. beweisen muss. Aus den recherchierten Entscheidungen, die diesem Beitrag zugrunde liegen, ergeben sich keine nennenswerte Praxishinweise. Auch eine diskutierte Beweislastumkehr gilt bei der Kausalität nicht.^[62]

5. Regelung des Art. 82 Abs. 3 DS‑GVO

Die aus Art. 82 Abs. 3 DS-GVO abzuleitende genaue Regelung ist noch nicht abschließend geklärt. Nach dem Wortlaut des Art.  82 Abs.  3 DS-GVO wird der Verantwortliche bzw. Auftragsverarbeiter von der Haftung befreit, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

Unklar ist dabei zunächst, ob es sich bei dieser Regelung um eine Möglichkeit der Haftungsbefreiung bzw. „Exkulpationsmöglichkeit“^[63] handelt oder um eine Beweislastregelung. Die Rechtsprechung des EuGH ist diesbzgl. uneindeutig. In der Rechtssache „NAP“ hat sich der EuGH wie folgt für eine Haftungsbefreiung ausgesprochen: Der Verantwortliche kann sich von der Haftung gem. Art. 82 Abs. 3 DS-GVO befreien, „indem er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der Verpflichtung zum Datenschutz […] und dem entstanden Schaden gibt.“^[64] Demnach handelt es sich bei der Regelung des Art. 82 Abs. 3 DS-GVO um eine Haftungsbefreiungsmöglichkeit hinsichtlich des Kausalzusammenhangs.

In den Urteilen „MDK Nordrhein“, „Juris“ und „Bulg. Handelsregister“ hat der EuGH den Art. 82 Abs. 3 DS-GVO hingegen als eine Beweislastregelung bezüglich des Verschuldens ausgelegt.^[65] Daher ergibt sich aus dieser Regelung, wie bereits oben erörtert, dass das Verschulden des Verantwortlichen im Rahmen des Schadenersatzes nach der DS-GVO zugunsten des Anspruchstellers vermutet wird. Der Ansicht zur Beweislastregelung ist zu folgen. Der Grund liegt darin, dass dem Verantwortlichen bzw. Auftragsverarbeiter, wenn er Anspruchsgegner ist, ohnehin die Möglichkeit zusteht, sich durch Gegenvortrag und Gegenbeweisangebote hinsichtlich aller anspruchsbegründenden Umstände zu entlasten. Aus Sicht der deutschen Rechtsordnung bedarf es auf EU-Ebene also gar keiner gesonderten Entlastungs- oder Exkulpationsregelung in der DS-GVO.

Im Ergebnis handelt es sich bei der Regelung des Art. 82 Abs.  3 DS-GVO entgegen der Ansicht des BGH im ScrapingFall^[66] nicht um eine Exkulpationsmöglichkeit. Vielmehr wird in Art. 82 Abs. 3 DS-GVO einzig eine Beweislastumkehr normiert, wonach das Verschulden des Verantwortlichen bzw. Auftragsverarbeiters bzgl. des Verstoßes vermutet wird.^[67]

In den gegenständlichen Urteilen hatte der EuGH nur Sachverhalte zu bewerten, in denen eine Anwendung des Art. 82 Abs. 3 DS-GVO nicht gegeben waren. So hat der Gerichtshof konkret festgestellt, dass der Verantwortliche nicht allein dadurch von seiner Haftung befreit wird, weil Dritte im Sinne des Art. 4 Nr. 10 DS-GVO durch einen Cyberangriff den Zugang zu personenbezogenen Daten erlangt oder diese offengelegt hätten. Hierfür bedarf es des Nachweises durch den Verantwortlichen, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.^[68]

Darüber hinaus kann sich der Verantwortliche gem. Art.  82 Abs.  3 DS-GVO nicht allein dadurch entlasten, dass ein Datenschutzverstoß von einem ihm unterstellten und Weisungen unterliegenden Mitarbeiter im Sinne des Art. 29 DS-GVO verursacht wurde. Vielmehr bedarf es zusätzlich des Nachweises, dass kein Kausalzusammenhang zwischen der Datenschutzverletzung und dem Schaden besteht.^[69]

IV. Die Rechtsfolge des immateriellen Schadenersatzes

Im Folgenden findet sich eine Analyse der Rechtsprechung in Hinblick auf die Berechnung des immateriellen Schadens gem. Art.  82 DS-GVO. Bei der Schadensberechnung handelt es sich nicht um ein Tatbestandsmerkmal, sondern um die Rechtsfolge des immateriellen Schadenersatzes. Auch wenn auf die Berechnung der Schadenshöhe grundsätzlich die nationalen Vorschriften anzuwenden sind,^[70] hat sich aus europarechtlicher Perspektive der EuGH hierzu verschiedentlich geäußert. Dabei hat der Gerichtshof allgemeine Leitlinien aufgestellt, die die nationalen Gerichte bei der Schadensberechnung anzuwenden haben, und spezielle Fragen zur Schadenshöhe beantwortet.

Zunächst ist festzuhalten, dass die Berechnung des Schadens einzig in die Zuständigkeit der Mitgliedstaaten fällt. Denn die DS-GVO enthält keine Regel zur Bemessung des Schadenersatzes. Die Mitgliedstaaten haben vielmehr autonom „die verfahrensrechtlichen Modalitäten der Rechtsbehelfe (inkl. die Kriterien für die Ermittlung der Schadenshöhe) festzulegen“, vorausgesetzt dass die nationalen Normen keinen geringeren Schutz gewährleisten als die DS-GVO (Äquivalenzgrundsatz) und dass dadurch die Ausübung des europäischen Datenschutzes nicht praktisch unmöglich oder übermäßig erschwert wird (Effektivitätsgrundsatz).^[71]

Aus ErwG 146 S. 6 DS-GVO ergibt sich weiter die Vorgabe, dass ein „vollständiger und wirksamer Schadenersatz für den erlittenen Schaden“ sichergestellt werden soll. Daher liegt der Zweck der Ersatzpflicht des Art. 82 Abs. 1 DS-GVO nach Ansicht des EuGH lediglich in einer Ausgleichsfunktion und nicht in einer darüber hinausgehenden abschreckenden Funktion^[72] oder einer Straffunktion.^[73] Aus dem gleichen Rechtsgrund dürfen auch die Kriterien des Art. 83 Abs. 2 DS-GVO für die Berechnung von Geldbußen nicht auf die Schadensberechnung des Art. 82 Abs.  1 DS-GVO angewendet werden, da beide Normen unterschiedliche Regelungszwecke verfolgen.^[74] Aus diesem Befund lässt sich ableiten, dass sich die Schwere des Verstoßes gegen die DS-GVO^[75] oder die Anzahl der Verstöße^[76] sowie die Schwere des Verschuldens^[77] nicht auf die Höhe des Schadenersatzes auswirken dürfen.^[78] Im Urteil „Scalable Capital“ hat der EuGH überdies konkret festgestellt, dass bei der Berechnung des Schadens gem. Art.  82 Abs.  1 DS-GVO eine Körperverletzung nicht zwangsläufig schwerer wiegt als ein immaterieller Schaden nach der DS-GVO.^[79] Von Relevanz für die Praxis ist schließlich die Klarstellung des EuGH, dass ein nationales Gericht auch einen Schadenersatz in geringer Höhe zusprechen kann, wenn der eingetretene Schaden nicht schwer wiegt.^[80]

Es bleibt abzuwarten, ob in Anbetracht dessen, dass gem. Art. 82 DS-GVO nur eine Ausgleichsfunktion bewirkt werden soll, die nationalen Gerichte die Höhe der gewährten Schadenshöhe tendenziell geringer ausurteilen werden.

V. Fazit

Die vorstehende Analyse der einschlägigen Rechtsprechung zum immateriellen Schadenersatz gem. Art.  82 Abs. 1 DS-GVO hat aufgezeigt, dass sich der EuGH und die deutschen Gerichte zu verschiedenen Fragen und offenen Punkten hinreichend geäußert haben. Die Erkenntnisse zum Tatbestand und zur Rechtsfolge können daher wie folgt zusammengefasst werden:

Ein immaterieller Schadenersatz gem. Art. 82 DS-GVO ist gegeben, wenn vier kumulative Voraussetzungen erfüllt sind: 1.) Es muss ein Verstoß gegen einschlägiges Datenschutzrecht vorliegen. 2.) Dieser Verstoß muss durch den Verantwortlichen bzw. Auftragsverarbeiter schuldhaft begangen worden sein, wobei das Verschulden vermutet wird. 3.) Es muss ein Schaden eingetreten sein. Dieser Schaden kann in einem Kontrollverlust oder in der begründeten Befürchtung des Anspruchstellers liegen, dass seine personenbezogenen Daten künftig missbraucht werden. Die hypothetische Möglichkeit der unbefugten Kenntnisnahme durch Dritte reicht für die begründete Befürchtung jedoch nicht aus. 4.) Es muss ein Kausalzusammenhang zwischen Schaden und Verstoß gegeben sein

wischen Schaden und Verstoß gegeben sein. In der Rechtsfolge wird mit dem immateriellen Schadenersatz eine Ausgleichsfunktion und keine abschreckende oder Straffunktion verfolgt. Die Schwere des Verstoßes oder die Anzahl der Verstöße sowie die Schwere des Verschuldens dürfen sich nicht auf die Schadenshöhe auswirken. Bei einem geringen Schaden kann auch nur ein geringer immaterieller Ersatz ausgesprochen werden

Auch wenn diese zusammengefassten Erkenntnisse die praktische Anwendung des immateriellen Schadenersatzes gem. Art. 82 DS-GVO erleichtern, hat die Rechtsprechung des EuGH nichtsdestotrotz Fragen offengelassen. Unklar ist z.B. wie der Begriff „Kontrollverlust“, der nach Ansichten des EuGH und des BGH einen immateriellen Schaden darstellen kann, zu definieren ist. Dies ist insbesondere relevant, da mit der verzögerten Auskunft gem. Art.  15 DS-GVO ein Kontrollverlust begründet werden könnte. Diese Frage hat das Amtsgericht Arnsberg dem EuGH erst kürzlich vorgelegt.^[81]

Für die zukünftige Anwendung des immateriellen Schadenersatzes ist auch eine Konkretisierung und weitergehende Erläuterung der begründeten Befürchtung der missbräuchlichen Verwendung als Schaden und dessen Darlegung und Beweisangebot von Bedeutung. Dies gilt insbesondere vor dem Hintergrund, dass dieses Tatbestandsmerkmal auf eine Vielzahl von Sachverhalten zutrifft, die ihrerseits das Potenzial zu (unerwünschten) Masseverfahren hat. Entsprechende Ausführungen hat der BGH zwar im Scraping-Fall gegeben. Allerdings bezogen sich diese lediglich auf den Kontrollverlust. Ob diese Ausführungen zur Darlegung und ggf. zum Beweis auf die begründete Befürchtung übertragbar sind, ist unklar.

^{[1] BAG, Beschl. v. 26.08.2021, Az: 8 AZR 253/20 (A), BeckRS 2021, 29622, Rn. 33.}

^{[2] Paal/Aliprandi, ZD 2021, 242; Singraven/Bissels, ArbRAktuell 2024, 242.}

^{[3] Schmidt, ZD 2024, 318}

^{[4] BGH, Urt. v. 18.11.2024, Az: VI ZR 10/24.}

^{[5] EuGH, Urt. v. 04.05.2023, Az: C-300/21, Rn. 42.}

^{[6] EuGH, Urt. v. 04.05.2023, Az: C-300/21, Rn. 33.}

^{[7] EuGH, Urt. v. 04.05.2023, Az: C-300/21, Rn. 37.}

^{[8] EuGH, Urt. v. 04.05.2023, Az: C-300/21, Rn. 32.}

^{[9] EuGH, Urt. v. 21.12.2023, Az: C-667/21, Rn. 103; Gola/Piltz, in: Gola/Heckmann, DS-GVO/BDSG – Kommentar, 3. Aufl. 2022, Art. 82, Rn. 24.}

^{[10] EuGH, Urt. v. 21.12.2023, Az: C-667/21, Rn.  93 f; siehe auch EuGH, Urt. v. 04.10.2024, Az: C-200/23, Rn. 161.}

^{[11] OLG München, Urt. v. 24.04.2024, Az: 34 U 2306/23 e, GRUR-RS 2024, 8563, Rn. 24.}

^{[12] EuGH, Urt. v. 04.05.2023, Az: C-300/21, Rn.  50; EuGH, Urt. v. 14.12.2023, Az: C-340/21, Rn. 82; EuGH, Urt. v. 20.06.2024, Az: C-590/22, Rn. 36.}

^{[13] EuGH, Urt. v. 04.10.2024, Az: C-200/23, Rn. 148, 156.}

^{[14] BGH, Urt. v. 18.11.2024, Az: VI ZR 10/24, Rn. 30, 33.}

^{[15] EuGH, Urt. v. 20.06.2024, Az: C-590/22, Rn. 47.}

^{[16] EuGH, Urt. v. 14.12.2023, Az: C-340/21, Rn. 30.}

^{[17] EuGH, Urt. v. 14.12.2023, Az: C-340/21, Rn.  39; a.A. OLG Karlsruhe, Urt. v. 07.11.2023, Az: 19 U 23/23, ZD 2024, 406, Rn. 31.}

^{[18] EuGH, Urt. v. 25.01.2024, Az: C-687/21, Rn. 45.}

^{[19] EuGH, Urt. v. 14.12.2023, Az: C-340/21, Rn. 60.}

^{[20] Quaas, in: Wolff/Brink, Datenschutzrecht – Kommentar, 2. Aufl. 2022, Art. 82, Rn. 51.}

^{[21] Thüsing/Zou, ZD 2024, 4.}

^{[22] OLG Hamm, Urt. v. 15.08.2023, Az: 7 U 19/23, GRUR 2023, 1791, Rn. 74 f}

^{[23] Thüsing/Zou, ZD 2024, 5; i.E. auch OLG Stuttgart, Urt. v. 31.03.2021, Az: 9 U 34/21, Rn. 41; Quaas in: Wolff/Brink, Datenschutzrecht – Kommentar, 2. Aufl. 2022, Art. 82, Rn. 51a.}

^{[24] Nemitz, in: Ehmann/Selmayr, DS-GVO – Kommentar, 3. Aufl. 2024, Art. 82, Rn. 23.}

^{[25] EuGH, Urt. v. 21.12.2023, Az: C-667/21, Rn. 93 f.}

^{[26] Vgl. OLG Koblenz, Urt. v. 18.05.2022, Az: 5 U 2141/21, BeckRS 2022, 11126, Rn. 54 ff.; Golland/Kriegesmann, MMR 2023, 734}

^{[27] Gola/Piltz, in: Gola/Heckmann, DS-GVO/BDSG – Kommentar, 3. Aufl. 2022, Art. 82, Rn. 24.}

^{[28] EuGH, Urt. v. 21.12.2023, Az: C-667/21, Rn. 103.}

^{[29] EuGH, Urt. v. 04.10.2024, Az: C-200/23, Rn. 161}

^{[30] EuGH, Urt. v. 14.12.2023, Az: C-340/21, Rn. 81.}

^{[31] EuGH, Urt. v. 04.05.2023, Az: C-300/21, Rn. 12}

^{[32] EuGH, Urt. v. 21.12.2023, Az: C-667/21, Rn. 11.}

^{[33] EuGH, Urt. v. 04.05.2023, Az: C-300/21, Rn. 51.}

^{[34] EuGH, Urt. v. 21.12.2023, Az: C-667/21, Rn. 23.}

^{[35] EuGH, Urt. v. 04.05.2023, Az: C-300/21, Rn. 45}

^{[36] EuGH, Urt. v. 04.05.2023, Az: C-300/21, Rn. 48.}

^{[37] EuGH, Urt. v. 14.12.2023, Az: C-340/21, Rn. 86; siehe auch BAG, Urt. v. 20.06.2024, Az: 8 AZR 124/23, Rn. 15.}

^{[38] EuGH, Urt. v. 14.12.2023, Az: C-340/21, Rn. 81.}

^{[39] EuGH, Urt. v. 14.12.2023, Az: C-340/21, Rn. 82}

^{[40] 0 EuGH, Urt. v. 25.01.2024, Az: C-687/21, Rn.  68; Schneider, CR-online.de Blog 2024, CRBLOG0007609 (6. Gebot); a. A. Wolf, CR 2023, 515, Rn. 22.}

^{[41] EuGH, Urt. v. 11.04.2024, Az: C-741-/21, Rn. 42.}

^{[42] EuGH, Urt. v. 25.01.2024, Az: C-687/21, Rn. 66}

^{[43] BAG, Urt. v. 20.06.2024, Az: 8 AZR 91/22, NZA 2024, 1496, Rn. 18.}

^{[44] OLG Köln, Urt. v. 07.12.2023, Az: 15 U 99/23, ZD 2024, 463, Rn. 36-38; OLG Stuttgart, Urt. v. 22.11.2023, Az: 4 U 20/23, ZD 2024, 60, 1. LS; OLG Hamm, Urt. v. 15.08.2023, Az: 7 U 19/23, GRUR 2023, 1799, Rn. 135, 144; OLG Karlsruhe, Urt. v. 07.11.2023, Az: 19 U 23/23, ZD 2024, 406: „Beunruhigung nach Cyberangriff kein immaterieller Schaden“.}

^{[45] LAG Rheinland-Pfalz, Urt. v. 08.02.2024, Az: 5 Sa 154/23, BeckRS 2024, 4219, Rn. 25; OLG Bamberg, Urt. v. 11.06.2024, Az: 10 U 58/23 e.}

^{[46] BGH, Urt. v. 18.11.2024, Az: VI ZR 10/24, Rn. 30, 33}

^{[47] EuGH, Urt. v. 14.12.2023, Az: C-340/21, Rn. 84; OLG Bamberg, OLG Bamberg, Urt. v. 11.06.2024, Az: 10 U 58/23 e, 4. LS.}

^{[48] Schneider, CR-online.de Blog 2024, CRBLOG0007609.}

^{[49] EuGH, Urt. v. 04.05.2023, Az: C-300/21, Rn.  50; EuGH, Urt. v. 21.12.2023, Az: C-667/21, Rn. 21; EuGH, Urt. v. 14.12.2023, Az: C-340/21, Rn. 84.}

^{[50] EuGH, Urt. v. 14.12.2023, Az: C-340/21, Rn. 85.}

^{[51] EuGH, Urt. v. 20.06.2024, Az: C-590/22, Rn. 35 f.}

^{[52] OLG Hamm, Urt. v. 15.08.2023, Az: 7 U 19/23, GRUR 2023, 1800, Rn. 151.}

^{[53] OLG Dresden, Urt. v. 23.01.2024, Az: 4 U 1313/23; OLG Bamberg, Urt. v. 11.06.2024, Az: 10 U 58/23 e, 4. LS.}

^{[54] OLG Stuttgart, Hinweisbeschluss v. 02.02.2024, Az: 2 U 63/22, ZD 2024 399, Rn. 18.}

^{[55] BAG, Urt. v. 20.06.2024, Az: 8 AZR 124/23, Rn. 16.}

^{[56] BGH, Urt. v. 18.11.2024, Az: VI ZR 10/24, Rn. 35, 45.}

^{[57] BGH, Urt. v. 18.11.2024, Az: VI ZR 10/24, Rn. 39 f.}

^{[58] EuGH, Urt. v. 04.05.2023, Az: C-300/21, Rn. 32}

^{[59] OLG Hamm, Urt. v. 15.08.2023, Az: 7 U 19/23, GRUR 2023, 1802, Rn. 176.}

^{[60] LG München I, Urt. v. 09.12.2021, Az: 31 O 16606/20, ZD 2022, 243, Rn. 36.}

^{[61] Bergt, in: Kühling/Buchner, DS-GVO – Kommentar, 4. Aufl. 2024, Art.  82, Rn.  45; Schwartmann/Keppeler/Jacquemain, in: Schwartmann/Jaspers/ Thüsing/Kugelmann, DS-GVO – Kommentar, 3. Aufl. 2024, Art. 82, Rn. 41 ff.; Schmidt, ZD 2024, 320}

^{[62] Quaas, in: Wolff/Brink, Datenschutzrecht – Kommentar, 2. Aufl. 2022, Art. 82 DS-GVO, Rn.  27; Schwartmann/Keppeler/Jacquemain, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO – Kommentar, 3. Aufl. 2024, Art. 82, Rn. 44; Thüsing/Zhou, ZD 2024, 4; a. A.: Bergt, in: Kühling/Buchner, DS-GVO – Kommentar, 4. Aufl. 2024, Art. 82, Rn. 47 f.}

^{[63] Singraven/Bissels, ArbRAktuell 2024, 241 (243); Schneider, CR-online.de Blog 2024, CRBLOG0007609 (9. Gebot); Bergt, in: Kühling/Buchner, DS-GVO – Kommentar, 4. Aufl. 2024, Art. 82, Rn. 51.}

^{[64] EuGH, Urt. v. 14.12.2023, Az: C-340/21, Rn.  72; siehe auch Singraven/Bissels, ArbRAktuell 2024, 243.}

^{[65] EuGH, Urt. v. 21.12.2023, Az: C-667/21, Rn.  93 f.; EuGH, Urt. v. 11.04.2024, Az: C-741-/21, Rn. 46; EuGH, Urt. v. 04.10.2024, Az: C-200/23, Rn. 161 f.; siehe auch: OLG Karlsruhe, Urt. v. 07.11.2023, Az: 19 U 23/23, ZD 2024, 408, Rn. 55 ff.}

^{[66] BGH, Urt. v. 18.11.2024, Az: VI ZR 10/24, Rn. 21.}

^{[67] Quaas, in: Wolff/Brink, Datenschutzrecht – Kommentar, 2. Aufl. 2022, Art. 82, Rn.  51; Gola/Piltz, in: Gola/Heckmann, DS-GVO/BDSG – Kommentar, 3. Aufl. 2022, Art. 82, Rn. 24; a. A.: Bergt, in: Kühling/Buchner, DS-GVO – Kommentar, 4. Aufl. 2024, Art. 82, Rn. 51 („Exkulpation“).}

^{[68] EuGH, Urt. v. 14.12.2023, Az: C-340/21, Rn. 74.}

^{[69] EuGH, Urt. v. 11.04.2024, Az: C-741-/21, Rn. 51.}

^{[70] EuGH, Urt. v. 04.05.2023, Az: C-300/21, Rn. 59.}

^{[71] EuGH, Urt. v. 04.05.2023, Az: C-300/21, Rn. 53 f}

^{[72] EuGH, Urt. v. 20.06.2024, Az: C-182/22 u. C-1859/22, Rn. 24; a.A.: LG Köln, Urt. v. 28.09.2022, Az: 28 O 21/22, ZD 2023, 159, Rn. 34.}

^{[73] EuGH, Urt. v. 21.12.2023, Az: C-667/21, Rn. 85}

^{[74] EuGH, Urt. v. 11.04.2024, Az: C-741-/21, Rn.  59; a.A.: LG München I, Urt. v. 09.12.2021, Az: 31 O 16606/20, ZD 2022, 243, Rn. 41}

^{[75] EuGH, Urt. v. 21.12.2023, Az: C-667/21, Rn.  86; a.A.: LAG Düsseldorf, Urt. v. 26.04.2023, Az: 12 Sa 18/23, BeckRS 2023, 24880, Rn. 118.}

^{[76] EuGH, Urt. v. 11.04.2024, Az: C-741-/21, Rn. 64.}

^{[77] EuGH, Urt. v. 20.06.2024, Az: C-182/22 u. C-1859/22, Rn. 28; a. A.: OLG Hamburg, Urt. v. 10.01.2024, Az: 13 U 70/23, BeckRS 2024, 804, Rn. 9.}

^{[78] Siehe jedoch OLG Dresden, Urt. v. 30.11.2021, Az: 4 U 1158/21, ZD 2022, 159, Rn.  12, wonach Schwere des Verstoßes, Grad des Verschuldens etc. in der Schadensberechnung zu berücksichtigen sind.}

^{[79] EuGH, Urt. v. 20.06.2024, Az: C-182/22 u. C-1859/22, Rn. 39}

^{[80] EuGH, Urt. v. 20.06.2024, Az: C-182/22 u. C-1859/22, Rn. 46.}

^{[81] VG Arnsberg, Beschl. v. 31.07.2024, Az: 42 C 434/23, beck-aktuell v. 03.09.2024, https://rsw.beck.de/aktuell/daily/meldung/detail/ag-arnsberg-42C43423-DS-GVO-auskunft-verweigert-rechtsmissbrauch; Leibold, RDi 2024, 578 ff.}