Abo

Urteil : Abtretbarkeit eines DS‑GVO Schadenersatzanspruchs : aus der RDV 6/2024, Seite 347 bis 351

(OLG Hamm, Urteil vom 24. Juli 2024 – 11 U69/23 –)

Rechtsprechung
Lesezeit 19 Min.

Relevanz für die Praxis

Im vorliegenden Urteil befasst sich das OLG Hamm mit einer wichtigen Frage zur Anwendbarkeit allgemeinen Schuldrechts auf den Schadensersatzanspruch aus Art. 82 Abs. 1, 2 DS-GVO. Es herrscht Streit darüber, ob der Anspruch abgetreten werden kann, beispielsweise zum Zweck der Geltendmachung durch einen Dritten. Teilweise wird in Literatur und Rechtsprechung die Ansicht vertreten, dass einer solchen Abtretung § 399 Var. 1 BGB entgegenstehe, da es sich bei einem Anspruch aus Art. 82 Abs. 1, 2 DS-GVO um einen höchstpersönlichen Anspruch handle. Der entscheidende Senat ist dieser Ansicht entgegengetreten und hat die Abtretbarkeit des Schadensersatzanspruchs aus der DS-GVO bejaht. Sofern sich der Anspruch allein auf den Verlust der Kontrolle über personenbezogene Daten stützt, muss der Zessionar allerdings eine weitergehende Beeinträchtigung der Zedenten beweisen, die aus dem Kontrollverlust resultiert.

  1. Bei Art.  82 Abs.  1, 2 DS-GVO handelt es sich nicht um einen höchstpersönlichen Anspruch, sodass § 399 Var. 1 BGB einer Abtretung nicht entgegensteht.
  2. Ein immaterieller Schaden im Sinne von Art.  82 Abs.  1 DS-GVO wegen eines Verlusts der Kontrolle über personenbezogene Daten setzt eine weitergehende Beeinträchtigung des vom Kontrollverlust betroffenen Geschädigten voraus. Diese weitergehende Beeinträchtigung muss der Zessionar im Falle einer Abtretung beweisen.

 (Nicht amtliche Leitsätze)

Aus den Gründen:

Der Klägerin stehen aufgrund des Datenschutzverstoßes vom 00.00.2021 aus abgetretenem Recht der Zedenten K. und W. Schadensersatzansprüche in Höhe von insgesamt 600,00 Euro gemäß Art. 82 Abs. 1, 2 DS-GVO gegen die Beklagte zu.

a) Die Klägerin ist jedenfalls hinsichtlich der abgetretenen Forderungen der Zedenten K. und W. aktivlegitimiert.

aa) Der von der Klägerin unter Vorlage der schriftlichen Abtretungsverträge behauptete Abschluss von Abtretungsverträgen mit 532 Zedenten ist von ihr jedenfalls bzgl. der Zedenten K. und W. bewiesen worden. Die insoweit von dem Senat als Zeugen angehörten Zedenten haben jeweils glaubhaft bestätigt, dass die ihnen vorgehaltene Unterschrift unter den jeweiligen Abtretungsverträgen von ihnen stammt und sie die Abtretungsverträge abschließen wollten.

In Bezug auf die verbleibenden 530 Zedenten hat die Klägerin zunächst die Forderungen von sechs Zedenten (HW., Nr.  41 und Nr.  313, RG., Nr.  144 und Nr.  201, YI., Nr.  155 und Nr.  254, XJ., Nr.  156 und Nr.  410, TA., Nr.  163 und Nr.  226 und QO., Nr. 271 und Nr. 324, jeweils in der Anlage K1) doppelt geltend gemacht und zudem Forderungen von 15 Zedenten (GB., XD., PH., TB., JT., CY., BK., AU., FD., EL., XR., AW., IL., FS. und HX.) beansprucht, die nicht von dem Datenschutzverstoß betroffen waren. Darüber hinaus hat die Klägerin Forderungen von weiteren elf Zedenten geltend gemacht, die im Zeitpunkt des Abschlusses des Abtretungsvertrags noch minderjährig waren, ohne insoweit eine Einwilligung oder nachträgliche Genehmigung der Erklärung darzulegen, wobei hinsichtlich der als Zeugin vernommenen Zedentin DM. jedenfalls von einer konkludenten Genehmigung auszugehen ist. In einem weiteren Fall betreffend die Zedentin BC. hat die Klägerin den schriftlichen Abtretungsvertrag nicht vorgelegt.

Letztlich brauchte der Senat über die Frage des Abschlusses von Abtretungsverträgen nur bzgl. der Zedenten K. und W. zu entscheiden, weil die Klägerin hinsichtlich der weiteren Zedenten einen Schaden entweder nicht hinreichend substanziiert dargelegt oder nicht bewiesen hat.

bb) Die Zedenten K. und W. konnten ihre Ansprüche aus Art.  82 Abs.  1, 2 DS-GVO auch wirksam an die Klägerin abtreten. Ein Verstoß gegen einen Abtretungsausschluss nach § 399 Var. 1 BGB, wonach insbesondere höchstpersönliche Ansprüche nicht abgetreten werden können, liegt nicht vor.

Zwar wird teilweise die Auffassung vertreten, dass es sich bei einem Anspruch aus Art.  82 Abs.  1, 2 DS-GVO um einen höchstpersönlichen Anspruch handelt, weil dort die Genugtuung sowie eine Kompensation mittels einer Entschädigung für die Persönlichkeitsrechtsverletzung im Vordergrund stehe, die nur gegenüber der betroffenen Person zur Linderung führen könne (AG Hannover, Urt. v. 09.03.2020 – 531 C 10952/19 –, BeckRS 2019, 43221, Rn.  15; vgl. zum Meinungsstand Wybitul/Leibold, Risiken für Unternehmen durch neue Rechtsprechung zum DS-GVO-Schadensersatz, ZD 2022, 207, 208). Überwiegend wird dies jedoch abweichend beurteilt. So handele es sich bei Art. 82 Abs. 1, 2 DS-GVO um einen eigenständigen deliktischen Anspruch, der dem allgemeinen nationalen Haftungsregime des BGB unterliege, was auch für die Übertragbarkeit des Anspruchs gelte (LG Essen, Urt. v. 23.09.2021 – 6 O 190/21 –, ZD 2022, 50, Rn. 36 f.; Quaas, in: BeckOK Datenschutzrecht, 48. Ed. 1. Mai 2024, DS-GVO Art. 82 Rn. 10 f.). Eine Persönlichkeitsverletzung sei gerade keine Anspruchsvoraussetzung. Art.  82 Abs.  1, 2 DS-GVO diene auch der Vermeidung von zukünftigen Verstößen, sodass ihm ein spezialpräventiver Charakter und damit auch eine objektive Aufgabe zukomme. Zudem verfolge die DS-GVO das Ziel, einen „vollständigen und wirksamen Schadensersatz“ zu gewährleisten, sodass auch die Notwendigkeit der tatsächlichen Durchsetzbarkeit dieses Anspruchs im Vordergrund stehe. Die Rechtsprechung des BGH zu schweren Persönlichkeitsverletzungen sei auf Art.  82 DS-GVO nicht übertragbar (Quaas, in: BeckOK Datenschutzrecht, 48. Ed. 1. Mai 2024, DS-GVO Art. 82 Rn. 11; vgl. zum Meinungsstand Wybitul/Leibold, a.a.O., ZD 2022, 207, 208). Die Wirksamkeit dieses Schadensersatzes im Sinne von ErwG 146 S. 6 DS-GVO wäre wesentlich beeinträchtigt, wenn der Anspruch nicht zum Zwecke der Geltendmachung an Dritte übertragen werden könnte (Hellgardt, Die Schadensersatzhaftung für Datenschutzverstöße im System des unionalen Haftungsrechts, ZEuP 2022, 7, 33).

Der Senat schließt sich im Ergebnis der letztgenannten Auffassung an. Nach § 399 Var. 1 BGB ist eine Forderung nicht übertragbar, wenn die Leistung an einen anderen als den ursprünglichen Gläubiger nicht ohne Veränderung ihres Inhalts erfolgen kann. Dies ist dann anzunehmen, wenn die Leistung auf höchstpersönlichen Ansprüchen des Berechtigten beruht, die er nur selbst erheben kann, oder wenn ein Gläubigerwechsel zwar rechtlich vorstellbar, das Interesse des leistenden Schuldners an der Beibehaltung einer bestimmten Gläubigerperson aber besonders schutzwürdig ist, oder wenn ohne Veränderung des Leistungsinhalts die dem Gläubiger gebührende Leistung mit seiner Person derart verknüpft ist, dass die Leistung an einen anderen Gläubiger als eine andere Leistung erschiene. In allen diesen drei Fallgruppen ist die Abtretbarkeit ausgeschlossen, weil andernfalls die Identität der abgetretenen Forderung nicht gewahrt bliebe (BGH, Urt. v. 24.03.2011 – IX ZR 180/10 –, Rn. 42, juris).

Ansprüche wegen immaterieller Schäden sind nach der Rechtsprechung des BGH seit dem 1. Juli 1990 uneingeschränkt übertragbar und pfändbar, nachdem durch das Gesetz zur Änderung des BGB und anderer Gesetze vom 14. März 1990 (BGBl. I S. 478) § 847 Abs. 1 S. 2 BGB a.F. gestrichen wurde (BGH, Beschl. v. 18.06.2020 – IX ZB 11/19 –, Rn. 14, juris; vgl. auch BGH, Urt. v. 24.03.2011 – IX ZR 180/10 –, Rn. 33, juris zu Ansprüchen aus Staatshaftung). Ob dies auch für Ansprüche wegen Verletzung des Persönlichkeitsrechts gilt, ist noch nicht höchstrichterlich entschieden (vgl. BGH Beschl. v. 18.06.2020 – IX ZB 11/19 –, Rn. 15, juris), vom BGH in Bezug auf einen Anspruch aus § 15 Abs. 2 AGG jedoch bejaht worden (vgl. BGH, Beschl. v. 18.06.2020 – IX ZB 11/19 –, Rn. 18 ff., juris).

Nach Auffassung des Senats handelt es sich bei Art.  82 Abs.  1, 2 DS-GVO nicht um einen höchstpersönlichen Anspruch. Anspruchsvoraussetzung ist ein Datenschutzverstoß, durch den der Anspruchsteller persönlich betroffen sein muss. Anders als bei einer Verletzung des Allgemeinen Persönlichkeitsrecht steht hier nicht der Genugtuungsgedanke im Vordergrund, sondern es soll der aufgrund eines Verstoßes gegen die DS-GVO entstandene Schaden vollständig und wirksam finanziell entschädigt werden, womit eine Ausgleichsfunktion verbunden ist (vgl. auch EuGH, Urt. v. 21.12.2023 – C-667/21 –, Rn. 85, juris). Darüber hinaus erfüllt Art.  82 DS-GVO einen weiteren Normzweck, mit dem ihm eine spezial- und auch generalpräventive Aufgabe zukommt, indem er dazu beitragen soll, dass innerhalb der Union ein gleichmäßiges und hohes Schutzniveau von natürlichen Personen bei der Verarbeitung personenbezogener Daten gewährleistet (vgl. EuGH, Urt. v. 04.05.2023 – C-300/21 –, NZA 2023, 621, Rn. 48) und ein Anreiz für die Einhaltung der DS-GVO geschaffen wird (EuGH, Urt. v. 04.05.2023 – C-300/21 –, NZA 2023, 621, Rn. 40; EuGH, Urt. v. 21.12.2023 – C-667/21 –, Rn. 85, juris). Schließlich enthält Art. 82 DS-GVO eine eigenständige Anspruchsgrundlage für einen Ersatzanspruch, sodass die Grundsätze, die für einen Anspruch auf Geldentschädigung wegen einer Verletzung des Allgemeinen Persönlichkeitsrechts gelten, nicht anzuwenden sind. Insbesondere ist nicht erforderlich, dass es sich um einen schwerwiegenden Eingriff handelt; der EuGH hat eine Erheblichkeitsschwelle ausdrücklich verneint (EuGH, Urt. v. 04.05.2023 – C-300/21 –,NZA 2023, 621, Rn.  43 ff.). Grundsätzlich ist daher jeder Datenschutzverstoß geeignet, einen Schadensersatzanspruch aus Art. 82 Abs. 1, 2 DS-GVO zu begründen.

Ferner ist ein schutzwürdiges Interesse des Schuldners an der Beibehaltung der Person des Gläubigers nicht erkennbar und die Leistung ist auch nicht dergestalt mit der Person des Gläubigers verknüpft, dass die Leistung an einen anderen Gläubiger als eine andere Leistung erschiene. […]

b) Aus abgetretenem Recht stehen der Klägerin Ansprüche auf Ersatz des immateriellen Schadens in Höhe von insgesamt 600,00 Euro aus Art.  82 Abs.  1, 2 DS-GVO (i.V.m. Art. 288 Abs. 2 AEUV) gegen die Beklagte zu.

aa) In Bezug auf den streitgegenständlichen Datenschutzverstoß ist der Anwendungsbereich der DS-GVO in zeitlicher, sachlicher und räumlicher Hinsicht eröffnet (vgl. Senatsurt. v. 20.01.2023 – 11 U 88/22 –, Rn. 67 ff., juris). Die o.g. Zedenten wahren ihrerseits gemäß Art. 82 Abs. 1 DS-GVO als Personen, denen wegen eines Verstoßes gegen die DS-GVO ein Schaden entstanden ist, anspruchsberechtigt und haben die Aktivlegitimation auf die Klägerin übertragen. Die Beklagte ist als Verantwortliche i.S.v. Art. 82 Abs. 1, Abs. 2, Art. 5 Abs. 1 lit. a) Var. 1, Art. 6 Abs. 1 UAbs. 1 lit. a), Art. 7 i.V.m. Art. 4 Nr. 7 DS-GVO passivlegitimiert. Der Anspruch aus Art. 82 Abs. 1, 2 DS-GVO wird auch nicht durch § 839 BGB, Art. 34 GG verdrängt (vgl. dazu Senatsurt. v. 20.01.2023 – 11 U 88/22 -, Rn. 71 ff., juris).

bb) Im Übrigen hat Art.  82 Abs.  2 DS-GVO – der die in Art.  82 Abs.  1 DS-GVO grundsätzlich normierte Haftungsregelung präzisiert – drei Voraussetzungen für die Entstehung des Schadensersatzanspruchs, nämlich erstens eine Verarbeitung personenbezogener Daten im Sinne der Art. 5 Abs. 1 lit. a) Var. 1, Art. 6 Abs. 1 UAbs. 1 lit. a), Art. 7 i.V.m. Art. 4 Nr.  1 und 2 DS-GVO unter schuldhaftem Verstoß gegen die Bestimmungen der DS-GVO, zweitens einen der betroffenen Person entstandenen Schaden und drittens einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (EuGH, Urt. v. 04.05.2023 – C-300/21 –, GRUR-RS 2023, 8972, Rn. 36, juris).

(1) Zunächst lassen sich Verstöße der Beklagten gegen die DS-GVO im Zuge einer Datenverarbeitung feststellen. Als Verstoß kommen materielle und formelle Verstöße in Betracht. Nach Wortlaut und Zielrichtung der Norm muss kein Verstoß gegen in der DS-GVO geregelte Datenschutzbestimmungen vorliegen; es genügt vielmehr ein Verstoß gegen die Verordnung selbst (Quaas, BeckOK Datenschutzrecht, 48. Edition, Stand 01.05.2024, Art. 82 DS-GVO, Rn. 14). Insoweit ist darauf hinzuweisen, dass nach Art.  5 Abs.  2 DS-GVO die Beklagte die Darlegungs- und Beweislast dahin trifft, die betroffenen personenbezogenen Daten entsprechend der DS-GVO verarbeitet und nicht gegen die in Art. 5 Abs. 1 DS-GVO normierten Grundsätze verstoßen zu haben (OLG Hamm, Urt. v. 15.08.2023 – 7 U 19/23 –, Rn. 87 f., beck-online).

Als personenbezogene Daten der Zedenten waren in den als Anlagen versendeten Excel-Tabellen unstreitig jedenfalls Vor- und Nachname, die Adresse, das Geburtsdatum, der verwendete Impfstoff sowie der Hinweis, dass es sich um die Zweitimpfung handelte, betroffen. Ob darüber hinaus auch die E-Mail-Adressen und/oder die Telefonnummern der Zedenten betroffen waren, bedarf an dieser Stelle noch keiner Erörterung.

(a) Indem ein Mitarbeiter der Beklagten die E-Mail mit den anliegenden Excel-Tabellen versandte, hat die Beklagte zunächst gegen Art. 5 Abs. 1 lit. a) und f) DS-GVO verstoßen, weil personenbezogene Daten der Zedenten verarbeitet wurden, ohne dass ein Rechtfertigungsgrund nach Art. 6 Abs. 1 UAbs. 1 DS-GVO vorlag. Der Versand der E-Mail mit den Excel-Tabellen als Anhang war insbesondere nicht zur Vertragszweckerfüllung erforderlich (Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO), lag nicht im berechtigten Interesse der Beklagten (Art. 6 Abs. 1 UAbs. 1 Buchst. f) DS-GVO) und war auch nicht von einer wirksamen Einwilligung der Zedenten gedeckt (Art. 6 Abs. 1 UAbs. 1 lit. a) DS-GVO). Im Übrigen wird auf die diesbezüglichen Ausführungen des Senats in dem zu demselben Datenschutzverstoß ergangenen Urt. v. 20.01.2023 – 11 U 88/22 –, Rn. 80 ff., juris, Bezug genommen.

(b) Darüber hinaus hat die Beklagte durch den Versand der E-Mail gegen Art. 9 Abs. 1 DS-GVO verstoßen. Insoweit wird zur Begründung auf Rn. 87 ff. in dem Senatsurt. v. 20.01.2023, – 11 U 88/22 –, juris, verwiesen.

(c) Der Versand der E-Mail mit den Excel-Tabellen stellt zudem einen Verstoß gegen Artt.  24, 32 DS-GVO dar, wobei diese Vorschriften und die Pflichten aus § 5 Art. DS-GVO zusammen zu betrachten sind. Sie sind dahingehend auszulegen, dass wenn Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten weitergegeben haben, dies allein nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen des für die Verarbeitung Verantwortlichen nicht „geeignet“ im Sinne von Artt.  24 und 32 DS-GVO waren, vgl. EuGH, Urt. v. 25.01.2024 – C-687/21 –, GRUR-RS 2024, 530, Rn. 45, beck-online. Der Senat sieht sich mit Blick auf die zwischenzeitlich ergangenen Entscheidungen des Europäischen Gerichtshofs diesbezüglich zu einer Präzisierung seiner Rechtsprechung veranlasst, sodass die Frage eines Verstoßes gegen die sich aus Artt. 24, 32 DS-GVO ergebende Pflicht, technische und organisatorische Maßnahmen zu treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern (EuGH, Urt. v. 14.12.2023 – C-340/21 –, Rn. 30 ff., juris), hier im Ergebnis nicht mehr dahinstehen kann, sondern dahingehend zu beantworten ist, dass die Beklagte gegen diese Pflicht verstoßen hat.

Nach der Rechtsprechung des EuGH ist zwar – wie erwähnt – eine unbefugte Offenlegung personenbezogener Daten oder ein unbefugter Zugang zu ihnen durch „Dritte“ i.S.v. Art. 4 Nr. 10 DS-GVO allein nicht ausreichend, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ i.S.d. Artt. 24 und 32 waren. Gleichwohl kann der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, zeigen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Artt. 24 und 32 DS-GVO waren, weil dies auf Organisationsmängeln des für die Verarbeitung Verantwortlichen beruhen kann, die den mit der Verarbeitung der betreffenden Daten verbundenen Risiken nicht konkret Rechnung tragen. Daraus folgt, dass in einem Rechtsstreit der für die betreffende Verarbeitung Verantwortliche darlegen und beweisen muss, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren (vgl. EuGH, Urt. v. 25.01.2024 – C-687/21 –, GRUR-RS 2024, 530, Rn. 40 ff., beck-online).

Nach diesen Maßstäben ist der Beklagten zwar zuzugeben, dass hier eine besondere Situation vorlag, in der zum einen zügig und nur für kurze Zeit Excel-Dateien erstellt werden mussten, um die E-Mail-Adressen der Impfwilligen zu ermitteln, die von den geänderten Öffnungszeiten des Impfzentrums betroffen waren und deswegen informiert werden sollten, und es zum anderen begünstigt von technischen Schwierigkeiten zu dem versehentlichen Versand der Dateien als E-Mail-Anhang gekommen ist. Ein Verstoß gegen Artt. 24, 32 DS-GVO liegt aber bereits nach dem Vortrag der Beklagten deshalb vor, weil es nach ihren eigenen Angaben in der mündlichen Verhandlung vor dem erkennenden Senat für derartige besondere Situationen mit technischen Schwierigkeiten keine expliziten Vorgaben für die Mitarbeiter der Koordinierenden Einheit gab. Solche sind von den handelnden Mitarbeitern in der konkreten Situation auch nicht von dem Leiter der koordinierenden Einheit eingeholt worden, der zudem die Bearbeitung auch nicht kontrolliert hat, um Bearbeitungsfehler zu vermeiden. Mit dem für den Regelbetrieb vorgesehenen „Vier-Augen-Prinzip“ war die Ausnahmesituation ersichtlich nicht sachgerecht zu bewältigen.

(d) Die Beklagte trifft auch ein Verschulden. […]

(2) Aufgrund des Datenschutzverstoßes ist den Zedenten K. und W. ein kausaler Schaden in Höhe von insgesamt 600,00 Euro entstanden.

Die von der DS-GVO verwandten Begriffe „immaterieller“ und „materieller“ Schaden sind unionsautonom auszulegen und setzen nach dem Wortlaut der Norm, der Systematik und dem Telos des Art. 82 Abs. 2, Abs. 1 DS-GVO sowie der Artt. 77- 84 DS-GVO und den ErwG 75, 85 und 146 DS-GVO einen über den schlichten Verstoß gegen die DS-GVO hinausgehenden Schaden voraus (EuGH, Urt. v. 04.05.2023 – C-300/21 –, Rn. 29- 42, juris). Es ist daher im Rahmen des haftungsbegründenden Tatbestands des Art. 82 Abs. 1, Abs. 2 DS-GVO zunächst zwischen einem haftungsrelevanten Datenschutzverstoß einerseits und einem Schaden andererseits zu differenzieren. Beide sind nicht deckungsgleich, sondern selbstständige Voraussetzungen im Rahmen des Art. 82 DS-GVO, die kumulativ vorliegen müssen (EuGH, Urt. v. 25.01.2024 – C-687/21 –, Rn. 58 m.w.N., juris).

Ein solcher Schaden setzt jedoch nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urt. v. 04.05.2023 – C-300/21 –, GRUR-RS 2023, 8972, Rn.  45 ff.). Gleichwohl bedeutet dies nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden i.S.v. Art. 82 DS-GVO darstellen (EuGH, Urt. v. 04.05.2023 – C-300/21 –, GRUR-RS 2023, 8972, Rn.  50). Entsprechend stellt der EuGH auch darauf ab, dass die finanzielle Entschädigung als „vollständig und wirksam“ im Sinne des sechsten Satzes des 146. ErwG anzusehen ist, wenn der „konkret erlittene Schaden“ vollständig ausgeglichen wird (EuGH, Urt. v. 04.05.2023 – C-300/21 –, GRUR-RS 2023, 8972, Rn. 57 f.). Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach der Rechtsprechung des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht (vgl. EuGH, Urt. v. 13.12.2018 – C-150/17 –, Rn. 86, juris; EuGH, Urt. v. 04.04.2017 – C-337/15 –, Rn. 91, beck-online). Die Darlegungsund Beweislast, dass den jeweiligen Zedenten ein über den Datenschutzverstoß hinausgehender Schaden entstanden ist, trägt die Klägerin (EuGH, Urt. v. 25.01.2024 – C-687/21 –, DB 2024, 519, Rn. 61, zitiert über juris).

Einen materiellen Schaden macht die Klägerin nicht geltend. Ein immaterieller Schaden kann sowohl auf objektiven als auch auf persönlich empfundenen bzw. psychologischen Beeinträchtigungen beruhen.

(a) Soweit die Klägerin als immateriellen Schaden einen durch den Versand der E-Mail mit den anhängenden Excel-Tabellen eingetretenen Kontrollverlust bzgl. der Daten sämtlicher Zedenten geltend macht, ist der Klägerin zwar zuzugeben, dass nach der Rechtsprechung des EuGH ein Kontrollverlust grundsätzlich einen immateriellen Schaden darstellen kann. Insoweit hat der EuGH bereits mehrfach darauf hingewiesen, dass der 85. ErwG der DS-GVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können (vgl. EuGH, Urt. v. 11.04.2024, – C-741/21 -, Rn. 42, juris; Urt. v. 25.01.2024 – C-687/21 –, DB 2024, 519, Rn.  66, zitiert über juris; Urt. v. 14.12.2023 – C-456/22 –, Rn.  22, juris). Soweit die Klägerin insbesondere gestützt auf die zitierte Rechtsprechung des EuGH und die Senatsrechtsprechung in dem Urt. v. 20.01.2023 – 11 U 88/22 – die Auffassung vertritt, dass bereits in dem unmittelbar mit dem Datenschutzverstoß einhergehenden Kontrollverlust ein Schaden zu sehen sei, hält der Senat an dieser Auffassung mit Blick auf die nach dem Senatsurt. v. 20.01.2023 ergangene, auszugsweise zitierte Rechtsprechung des Europäischen Gerichtshofs, mit welcher der EuGH die Auslegung von Art.  82 DS-GVO und insbesondere die Frage, unter welchen Voraussetzungen ein Schaden im Sinne dieser Norm angenommen werden kann, fortwährend konkretisiert hat, nicht länger fest.

Insofern ist hervorzuheben, dass der EuGH – wie bereits ausgeführt wurde – mittlerweile wiederholt entschieden hat, dass der haftungsrelevante Verstoß gegen Vorschriften der DS-GVO einerseits und ein kausal auf dem Datenschutzverstoß beruhender Schaden andererseits eigenständige Voraussetzungen des haftungsbegründenden Tatbestands von Art. 82 Abs. 1, Abs. 2 DS-GVO sind, die kumulativ vorliegen müssen (EuGH, Urt. v. 04.05.2023 – C-300/21 –, GRUR-RS 2023, 8972, Rn. 32), und dass der Verlust der Kontrolle über personenbezogene Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 dieser Verordnung darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (EuGH, Urt. v. 11.04.2024 – C-741/21 –, Rn. 42, m.w.N., juris). Mit der wiederholten Verwendung des Wortes „kann“ hat der EuGH deutlich gemacht, dass auch ein Kontrollverlust nicht per se einen (immateriellen) Schaden darstellt, sondern gerade auch insoweit ein über den Datenschutzverstoß hinausgehender Schaden konkret nachzuweisen ist. Insofern hat der EuGH ausgeführt, dass zwar der Annahme, dass die Veröffentlichung personenbezogener Daten im Internet und der daraus kurzzeitig resultierende Kontrollverlust den betroffenen Personen ein immaterieller Schaden entstehen könne, nichts entgegenstehe, jedoch müssten die betroffenen Personen den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden erlitten haben (EuGH, Urt. v. 14.12.2022 – C-456/22 –, Rn. 22, juris). Diese Auffassung klarstellend bestätigt hat der EuGH in seiner Entscheidung v. 20.06.2024, – C-590/22, Rn.  33 ff., juris. Nach der Entscheidung ist Art.  82 Abs.  1 DS-GVO dahin auszulegen, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadensersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist (Rn. 36), während die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen nicht zu einem Schadensersatz nach dieser Vorschrift führen kann (Rn. 35).

Vor dem Hintergrund dieser Rechtsprechung des EuGH schließt sich der Senat der Auffassung des 7. Zivilsenats des OLG Hamm an (OLG Hamm, Urt. v. 15.08.2023 – 7 U 19/23 –, Rn. 150 ff., juris), wonach bei einem zwangsläufig zu einem Kontrollverlust führenden Datenschutzverstoß allein aus diesem Kontrollverlust noch kein tatsächlicher Schaden im konkreten Einzelfall resultiert, wenn bzw. weil dieser automatisch bei jedem vom festgestellten Verstoß gegen die DS-GVO Betroffenen in Form der Offenlegung/Zugänglichmachung von Daten eintritt. Ein Schaden liegt in solchen Fällen erst dann vor, wenn über den Kontrollverlust als Realisierung des generellen Risikos hinaus im konkreten Einzelfall ein tatsächlicher materieller oder immaterieller Schaden entstanden ist (vgl. in diesem Sinne auch OLG Oldenburg, Urt. v. 21.05. 2024 – 13 U 100/23 –, Rn. 43 m.w.N., juris).

Nach diesen Maßstäben ist im vorliegenden Fall in dem durch den Versand der E-Mail unmittelbar entstandenen Kontrollverlust ein Schaden im Sinne von Art. 82 Abs. 1, Abs. 2 DS-GVO nicht zu sehen, weil der objektive Kontrollverlust an sich hier lediglich die zwangsläufige und generelle Folge der unrechtmäßigen bzw. unzureichend geschützten Datenverarbeitung durch die Beklagte ist und ein darüber hinausgehender Schaden allein in dem Verlust der Hoheit über die eigenen personenbezogenen Daten noch keinen Schaden darstellt. Hinzu kommen muss bei einem immateriellen Schaden eine weitergehende Beeinträchtigung des vom Kontrollverlust betroffenen Geschädigten, die auch in der bloßen Befürchtung bestehen kann, dass Daten aufgrund des Kontrollverlusts weitergegeben wurden, wobei diese Befürchtung nachgewiesen sein muss, EuGH, Urt. v. 20.06.2024, – C-590/22, Rn. 36, juris.

(b) Soweit die Klägerin sich des Weiteren auf einen bei sämtlichen Zedenten entstandenen, über den reinen Kontrollverlust hinausgehenden immateriellen Schaden in Form einer unbefugten Nutzung der Daten durch Dritte, eine öffentliche Bloßstellung, einer Veröffentlichung bzw. Veräußerung der Daten im Darknet sowie eines allgemein bestehenden Risikos einer jederzeit möglichen Weitergabe und späteren Verwendung der Daten beruft, vermag der Senat hierin einen immateriellen Schaden ebenfalls nicht zu erkennen. […]

(c) Soweit die Klägerin in Bezug auf 34 Zedenten konkret zu einem über den unmittelbaren Kontrollverlust hinausgehenden Schaden vorgetragen hat, vermochte sie nach dem Ergebnis der vor dem Senat durchgeführten Beweisaufnahme einen über den unmittelbar mit dem Datenschutzverstoß verbundenen Kontrollverlust hinaus eingetretenen haftungsbegründenden Schaden nur hinsichtlich der Zedenten K. und W. mit dem Beweismaß des § 286 ZPO (OLG Dresden, Urt. v. 09.04.2024 – 4 U 1743/23 –, Rn. 46, juris; OLG Celle, Urt. v. 04.04.2024 – 5 U 31/23 -, Rn. 84, juris; OLG Hamm, Urt. v. 15.08.2023 – 7 U 19/23 –, Rn. 162, juris) zu beweisen. Nachdem die Klägerin auf die zeugenschaftliche Vernehmung der Zedenten OZ. und DD. verzichtet hat, ist ihr die Beweisführung hinsichtlich der weiteren 30 Zedenten weder hinsichtlich objektiver Beeinträchtigungen noch in Bezug auf persönlich empfundene bzw. psychologische Beeinträchtigungen gelungen.

Hinsichtlich der weiteren über 400 verbliebenen Zedenten hat die Klägerin konkrete, im Einzelfall über den mit dem Datenschutzverstoß untrennbar verbundenen Kontrollverlust hinausgehende Schäden nicht hinreichend dargelegt. Der pauschale Vortrag zu allen Zedenten wird den an einen hinreichend substanziierten Vortrag zu stellenden Anforderungen nicht gerecht. Es geht um die Auswirkungen des mit dem Datenschutzverstoß verbundenen Kontrollverlusts auf den einzelnen Betroffenen, die nur mit einem konkreten Vortrag hinsichtlich des Einzelnen hinreichend dargetan und nachvollziehbar sind. Die zusammenfassende Umschreibung auch von Empfindungen und Befürchtungen bleibt pauschal und oberflächlich, so dass der Senat hierzu nicht Beweis erhoben hat und mangels hinreichenden Vortrags auch nicht zu erheben hatte. […]

(d) Die Höhe des den Zedenten K. und W. entstandenen immateriellen Schadens bemisst der Senat auf insgesamt 600,00 Euro. […]

Zur Vertiefung

Chatzipanagioti, Breiter Schadensersatzanspruch im Sinne der

DS-GVO laut EuGH, mögliche Praxisfolgen und die Verhaltensregeln als Lösungsansatz = RDV 6/2023

[Urteil] Kein Schadensersatz ohne Schaden = RDV 4/2024

[Urteil] Kein Schadensersatz bei hypothetischem Verwendungsrisiko = RDV 2/2024

[Urteil] Schadensersatz für immaterielle Schäden = RDV 2/2024