Urteil : Kontrollpflicht des Verantwortlichen gegenüber dem Auftragsverarbeiter : aus der RDV 1/2025, Seite 59 bis 63
(OLG Dresden, Urteil vom 15. Oktober 2024 – 4 U 940/24 –)
- Dem datenschutzrechtlich Verantwortlichen obliegt gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrags eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten.
- Auf einen Exzess kann er sich nicht berufen, wenn er die‑ ser Kontrollpflicht nicht genügt.
- Der Empfang von Spam-Nachrichten ohne weitere Folgen begründet keinen immateriellen Schaden.
Aus den Gründen:
- Die Beklagte ist der Klagepartei dem Grunde nach gemäß Art. 82 DS-GVO zum Schadenersatz verpflichtet.
Der Verantwortliche und Auftragsverarbeiter haftet im Grundsatz nach Art. 82 DS-GVO für das Handeln seiner Auftragsverarbeiter und deren Mitarbeiter jedenfalls dann, wenn dem Mitarbeiter erst durch die ihm vom Verantwortlichen oder Auftragsverarbeiter übertragene Tätigkeit die Gelegenheit gegeben wurde, auf die Rechtsgüter der betroffenen Person einzuwirken. Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür (Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/ Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), 8. EL 2024, Art. 82 EUV 2016/679, Rn. 30a). Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadenersatz“ im Sinne des Art. 82 Abs. 4 DS-GVO (vgl. auch ErwG 146 S. 6) entgegenstünde. Ein Abschieben der Haftung auf den Auftragsverarbeiter widerspricht auch dem Grundgedanken der Auftragsverarbeitung, wonach der Verantwortliche zwar ohne Weiteres Dritte einschalten darf, aber gegenüber der betroffenen Person verantwortlich bleibt. Der Auftragsverarbeiter ist letztlich – mit einigen formalen und inhaltlichen Anforderungen, die aus der fehlenden arbeitsrechtlichen Weisungsbefugnis und tatsächlichen Kontrollmöglichkeit herrühren – wie ein sonstiger Mitarbeiter zu behandeln (vgl. Bergt, in: Kühling/Buchner, DS-GVO, 4. Aufl., 2024, Art. 82 Rn. 55 m.w.N.).
a) Die Beklagte hat gegen die ihr obliegende Pflicht zur sorgfältigen Überwachung des von ihr beauftragten externen Auftragsdatenverarbeiters verstoßen, Art. 28, 32 DS-GVO.
Art 28 Abs. 1 DS-GVO regelt unmittelbar nur die Anforderungen an die Auswahl des Auftragsverarbeiters durch den Verantwortlichen. Dieser darf nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, „die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen“ im Einklang mit der DS-GVO durchgeführt werden. Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters – im Anschluss an dessen Auswahl – ist in Art. 28 Abs. 1 DS-GVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet […] nur mit“). Abs. 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Zugleich enthält er eine Verpflichtung der Vertragsparteien, die Details zu den Prüfrechten auszugestalten und hierdurch eine effektive Kontrolle durch den Verantwortlichen sicherzustellen (Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/ Bundesdatenschutzgesetz (BDSG), 8. EL 2024, Art. 28 EUV 2016/679, Rn. 61). De facto ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen (vgl. Plath, in: Plath, DS-GVO/BDSG/TTDSG, 4. Aufl. 2023, Rn. 17 m.w.N.). Durch diese vertragliche Ausgestaltung werden aber nicht nur die Pflichten des Auftragsdatenverarbeiters, sondern auch die korrespondierenden Prüfpflichten des Unternehmers konkretisiert. Ob dies auch dann gilt, wenn dem Auftragsdatenverarbeiter Pflichten auferlegt werden, die über das nach der DS-GVO gebotenen Schutzniveau hinausgehen, bedarf hier entgegen der Auffassung der Beklagten im Schriftsatz vom 09.09.2024 keiner Entscheidung, weil die durch Ziff. 9 des Nachtrags geregelten Pflichten nicht über diese Mindestanforderungen hinausgehen. Wie die Beklagte im Schriftsatz vom 09.09.2024 insofern zu Recht geltend macht, ist der Auftragsverarbeiter nämlich nach Vertragsende – als Ausfluss der allgemeinen Grundsätze der „Rechtmäßigkeit“, (Art. 5 Abs. 1 lit. a)) DS-GVO), der „Datenminimierung“ (Art. 5 Abs. 1 lit. (c) DS-GVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 e) DS-GVO) – verpflichtet, alle noch vorhandenen personenbezogenen Daten entweder zu löschen oder zurückzugeben (vgl. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 28 Rn. 22, 23, beck-online mit Verweisen auf Spoerr, in: BeckOK DatenschutzR, DS-GVO Art. 28 Rn. 78). Dies entspricht Art. 9 des Nachtrags.
Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine – vollkommen praxisfremde – Vor-OrtKontrolle erforderlich wäre (Schaffland/Wiltfang aaO.). Gesteigerte Anforderungen ergeben sich indes, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen (Plath, a.a.O., Rn. 18). Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9, 10 DS-GVO. Ungeachtet der Frage, ob die von dem zwischen der Beklagten und dem Autragsdatenverarbeiter geschlossenen Vertrag erfassten Daten auch Daten über das Nutzerverhalten und hieraus zu erstellende Profile beinhalteten, betraf die Verarbeitung vorliegend jedenfalls nicht unbedeutende Datenmengen, deren Verlust potenziell vielen Millionen Nutzern Schaden zufügen konnte. Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt. […]
d) Die Beklagte kann sich nicht nach Art. 82 Abs. 3 DS-GVO entlasten.
Der Verantwortliche oder der Auftragsverarbeiter wird nach dem Wortlaut dieser Vorschrift von der Haftung gemäß Abs. 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. „Nicht verantwortlich“ bedeutet, dass den Verantwortlichen bzw. den Auftragsverarbeiter keinerlei Verschulden an dem Ereignis trifft, das den Schaden auslöste (Bergt, in: Kühling/ Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rn. 49; im Ergebnis auch Spindler, DB 2016, 937 ff. (947) Schaffland/Wiltfang, a.a.O, Rn. 28). „In keinerlei Hinsicht“ bedeutet, dass der Verantwortliche bzw. der Auftragsverarbeiter nachweist, er habe alle Sorgfaltspflichten erfüllt und damit ihm nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Becker, in: Plath, DS-GVO/BDSG/ TTDSG, 4. Aufl., Art. 82 DS-GVO Rn. 5). Hält er alle erforderlichen technischen und organisatorischen Datensicherungsmaßnahmen ein und kommt es dennoch zu einem unbefugten Datenzugriff, kann ihm dies nicht angelastet werden (Becker in Plath, DS-GVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rn. 5; Frenzel, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl., Art. 82 Rn. 15; Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rn. 54; Schaffland/Wiltfang, a.a.O, Rn. 29). Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters erstreckt sich grundsätzlich nicht auf die Fälle, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte (EuGH, Urt. v. 05.12.2023 – C-683/21 –, juris Rn. 85).
Vorliegend hat der Auftragsdatenverarbeiter zwar sowohl gegen allgemeine Regeln der DS-GVO als auch gegen seine vertraglichen Pflichten verstoßen. Ungeachtet vertraglicher Verpflichtungen ist der Auftragsverarbeiter bereits nach der DS-GVO im Rahmen der Auftragsverarbeitung grundsätzlich nicht berechtigt, die im Auftrag verarbeiteten Daten für eigene Zwecke bzw. für die Zwecke Dritter zu verarbeiten. Darüber hinaus hat der Auftragsverarbeiter die Rückgabe- und Löschpflichten nach Beendigung des Auftrags zu beachten (vgl. Plath, in: Plath, DS-GVO/BDSG/TTDSG, 4. Aufl. 2023, Rz. 17 m.w.N.). Vorliegend ist unstreitig, dass Datensätze der Beklagten bei der Firma O… zum einen unzulässigerweise von der Produktiv- in eine Testumgebung überführt wurden, deren Sphäre verlassen haben und anschließend im Darknet zum Verkauf angeboten wurden, nachdem Mitarbeiter dieser Firma entgegen ihrer Zusicherung aus dem Jahre 2023 nicht alle Datensätze der Beklagten wie vertraglich vereinbart unverzüglich nach Vertragsende gelöscht hatten, sondern zumindest einer der Datensätze schließlich entweder von Hackern erbeutet, oder von Mitarbeitern unbefugt weitergegeben wurden.
Wie oben ausgeführt, käme die Beklagte allerdings nur dann in den Genuss der Haftungsprivilegierung nach Art. 82 Abs. 3 DS-GVO, wenn ihr selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies ist vorliegend angesichts des eigenen Pflichtenverstoßes der Beklagten nicht der Fall. Dem kann auch nicht das fehlende Zugriffsrecht der Beklagten nach Ablauf des Auftragsverarbeitungsverhältnisses entgegen gehalten werden; wie aufgezeigt standen hier nämlich der Beklagten die in Ziff. 9, 10 des Nachtrags geregelten nachwirkenden Kontrollmöglichkeiten offen.
3. Der Kläger kann aus den angeführten Verstößen der Beklagten gegen die DS-GVO keinen Anspruch auf Ersatz immateriellen Schadens herleiten. Der Klagepartei obliegt die Darlegungs- und Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und dem Schaden. Dieser Beweis ist nicht erbracht worden.
Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (so EuGH, Urt. v. 04.05.2023 – C – 300/21, Rn. 36 – juris). Der europäische Gerichtshof stützt sich auf den 146. ErwG, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person (vgl. EuGH, Urt. v. 20.06.2024 – C-590/22, Rn. 28 – juris; EuGH, Urt. v. 04.05.2023 – C-300/21, 49, 50 – juris). Allerdings muss der Schaden tatsächlich und sicher entstanden sein (vgl. EuGH, Urt. v. 04.04.2017 – C-337/15, Rn. 91 – juris). Hierbei hat der Europäische Gerichtshof in einem behaupteten Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden gesehen (vgl. EuGH, Urt. v. 04.04.2017 – C-337/15, Rn. 95 – juris).
Der Kontrollverlust der Daten und deren Veröffentlichung im Darknet hat im vorliegenden Fall zu keinem immateriellen Schaden im Sinne von Art. 82 DS-GVO bei der Klagepartei geführt. […]
Nach der Rechtsprechung des EuGH (EuGH, Urt. v. 20.06.2024 – C-590/22 – juris; Urt. v. 14.12.2023 – C-340/21 – juris) kann der Kontrollverlust grundsätzlich einen immateriellen Schaden begründen. Aus dieser beispielhaften Aufzählung im ErwG Nr. 85 der „Schäden“, die den betroffenen Personen entstehen können geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urt. v. 14.12.2023 – C-340/21, Rn. 82 – juris). Allerdings muss eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DS-GVO darstellen (vgl. EuGH, a.a.O. Rn. 84). Wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist aber gleichwohl zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH a.a.O., Rn. 85). An dem Erfordernis eines kausalen Schadens hat der Europäische Gerichtshof festgehalten.
Dies deckt sich mit der Funktion des aus Art. 82 Abs. 1 DS-GVO folgenden Anspruchs auf Schadenersatz, einen konkreten Schaden auszugleichen (EuGH, Urt. v. 20.06.2024 – C-590/22, Rn. 24 – juris). Ließe man einen für den Betroffenen folgenlosen Kontrollverlust als immateriellen Schaden zu, müsste die Höhe des Schadenersatzes konsequent Null betragen. Denn für die Bemessung des Ersatzes des immateriellen Schadens kommt es letztlich im Hinblick auf die Ausgleichsfunktion des Art. 82 Abs. 1 DS-GVO nur auf die konkreten Auswirkungen für die betroffene Person an, nicht aber bspw. auf Strafzwecke, Schwere des Verschuldens, Schwere des Verstoßes gegen die DS-GVO oder die Anzahl der Verstöße gegen die Datenschutz-Grundverordnung im Hinblick auf einen Vorgang (vgl. OLG Hamm, Urt. v. 21.06.2024 – 7 U 154/23, Rn. 48 – juris Bezug nehmend auf EuGH, Urt. v. 20.06.2024 – C-590/22, Rn. 28 ff – juris; EuGH, Urt. v. 11.04.2024 – C-741/21, Rn. 64 – juris;).
Dafür sprechen zudem systematische Gründe. So wird in der Auslegung anderer Normen, die einen immateriellen Schaden voraussetzen, dieser als eine negative innere Tatsache des Geschädigten angesehen, z.B. die Trauer über den Verlust eines nahen Angehörigen; hingegen wird der Verlust des nahen Angehörigen als solcher nicht als Schaden anerkannt (EuGH, Urt. v. 10.12.2015 – C-350/14, Rn. 27 – juris). Wenn aber schon der Verlust eines Angehörigen an sich zur Begründung eines immateriellen Schadens nicht ausreicht, dann ist dies aus Wertungsgesichtspunkten erst recht nicht beim Verlust der Kontrolle über Daten der Fall (OLG Hamm, Urt. v. 21.06.2024 – 7 U 154/23, Rn. 49 – juris).
Die betroffene Person muss die Tatsachen, die dazu führen können, dass ein „tatsächlich erlittener immaterieller Schaden“ infolge der Verletzung des Schutzes personenbezogener Daten anerkannt werden kann, genau und nicht nur allgemein darlegen, auch wenn er nicht eine im Voraus festgelegte Schwelle von besonderer Schwere erreicht. Entscheidend ist, dass es sich nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und auch vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen personenbezogenen Daten und die Bedeutung, die sie im Leben der betroffenen Person haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen, mit der Datenverletzung verbundenen Beeinträchtigung hat (vgl. Schlussanträge des GA Pitruzella v. 27.04.2023 – C 340/21, Rn. 83 – juris).
Unter Berücksichtigung der Umstände kann hier die Befürchtung der Klagepartei, dass die Daten missbräuchlich verwendet werden, nicht als begründet angesehen werden. Zu den besonderen Umständen gehört die Art des Datums. Wird die Kontrolle über sensible Daten, wie z.B. Gesundheitsdaten, Daten über die sexuelle Orientierung, Daten über rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, Daten über Bankverbindungen, Vermögenswerte, Einkommen, Beruf oder Berufsgeheimnisse verloren, liegt eine missbräuchliche Verwendung nicht fern (vgl. Art. 9 Abs. 1 DS-GVO). Insbesondere bei Daten, die den persönlichen Lebensbereich betreffen, besteht die Gefahr einer Rufschädigung oder Diskriminierung. Ebenso geht der Verlust der Kontrolle von Daten über Vermögenswerte, Bankverbindungen und Berufsgeheimnisse mit dem Risiko eines materiellen Schadens einher
Bei der hier gehackten E-Mail-Adresse handelt es sich um ein solches Datum, das – seiner Funktion entsprechend – der Kontaktaufnahme dient und durch andere identifizierbare Personen im alltäglichen und geschäftlichen Leben regelmäßig anderen Personen in großem Umfang zugänglich gemacht wird (vgl. OLG Köln, Urt. v. 07.12.2023 – I-15 U 33/23, Rn. 37 – juris; OLG Hamm, Urt. v. 21.06.2024 – 7 U 154/23, Rn. 51 – juris). Sie stellt gerade kein besonders sensibles Datum dar, sondern eines aus der Sozialsphäre des Klägers. Mit der daneben erbeuteten IP-Adresse kann im Regelfall ein Hacker nichts anfangen, die User-ID könnte in der Verknüpfung mit dem Namen allenfalls einen Rückschluss darauf zulassen, dass die Klagepartei Nutzer eines Musik-Streaming-Dienstes ist. Welche konkrete Befürchtung die Klagepartei hieran anschließt, hat sie ebenso wenig dargelegt wie die negativen Folgen des Bekanntwerdens des Alters oder Geschlechts.
Ein Missbrauch drängt sich unter den gegebenen Umständen nicht auf. Die E-Mail-Adresse – ebenso wie etwa eine Telefonnummer – kann zwar auch missbräuchlich zur Übersendung von Spam sms oder betrügerischen Anrufen genutzt werden, jedoch kann ein materieller Schaden erst dann entstehen, wenn bei einer Spam -mail der mitgesendete link verwendet wird oder die betroffene Person auf einen Anruf reagiert, dem betrügerischen Anrufer Auskunft gibt oder auf dessen Aufforderung Geld überweist. Der Empfang von Spam-Nachrichten o.ä. als solcher – ohne weitere negativen Folgen – stellt für sich genommen keinen immateriellen Schaden dar (vgl. EuGH, Urt. v. 20.06.2024 – C-590/22, Rn. 34-36 – juris; OLG Hamm, Urt. v. 21.06.2024
– 7 U 154/23, Rn. 43 – juris). Die Lästigkeit, die mit den ungebetenen Nachrichten oder Anrufen von angeblichen Bankmitarbeitern, von automatischen Ansagen sowie mit der Zusendung von angeblichen Sendungsbenachrichtigungen oder anderen Spam-Nachrichten einhergeht, kann aber grundsätzlich schon deshalb nicht als begründete Befürchtung eines Missbrauches der Daten angesehen werde, weil davon Personen, deren Daten nicht gehackt wurden, in vergleichbarer Weise betroffen sind. Es ist allgemein – und auch den Senatsmitgliedern aus eigener Erfahrung – bekannt, dass Personen, die keine Streaming-Dienste nutzen, ebenfalls viele Spam-Nachrichten erhalten. Ein Zusammenhang mit dem streitgegenständlichen Datensatzverlust ist nicht nachweisbar. In den Schriftsätzen ist lediglich allgemein von Sorgen, Unwohlsein und Ängsten um einen befürchteten Identitätsdiebstahl wegen der entwendeten Daten die Rede.
Eine darüber hinaus gehende emotionale Beeinträchtigung der Klagepartei ist zur Überzeugung des Senates nicht eingetreten. Die schriftsätzlich allgemein gehaltene Behauptung der Klagepartei, sie sei in einen Zustand großen Unwohlseins und Sorge über einen möglichen Missbrauch geraten, genügt diesen Darlegungsanforderungen nicht. Die Ausführungen sind schon nicht auf die konkrete Person der Klagepartei bezogen, sondern werden in einer Vielzahl von Klagen gleichlautend wiederholt. Allgemeine Sorgen, Ängste und Unwohlsein sind alltägliche Empfindungen, die keine begründete Befürchtung rechtfertigen. Erforderlich ist vielmehr der konkrete Nachweis eines realen und sicheren emotionalen Schadens (vgl. Schlussanträge des GA Pitruzella v. 27.04.2023 – C -340/21, Rn. 82, 83, – juris). Da im Allgemeinen jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen kann (vgl. Schlussanträge des GA Campos Sanchez-Bordona v. 06.10.2022 – C 300/21, Rn. 113 – juris) und ein Schadenersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergibt, einem „Schadenersatz ohne Schaden“ recht nahe kommt, der nicht von Art. 82 erfasst ist (vgl. EuGH, Urt. v. 04.05.2023 – C – 300/21, Rn. 36 ff – juris), reicht demgegenüber allein der potenzielle oder hypothetische Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten nicht aus (vgl. Schlussanträge des GA Collins v. 26.10.2023 – C 182/22, Rn. 24 – juris). […]