Die Parteien streiten über Ansprüche aus einem behaupteten Datenschutzverstoß.
Der Kläger schloss mit der Beklagten am 27. September 2019 einen Mobilfunkvertrag ab, wegen dessen Inhalts auf die Anlage B1a Bezug genommen wird. Im Zuge des Vertragsschlusses stellte die Beklagte dem Kläger ein Merkblatt zum Datenschutz zur Verfügung, das der Kläger zur Kenntnis nahm; wegen des Inhalts dieses Merkblatts wird auf die Anlage B1b Bezug genommen.
Im Anschluss an den Vertragsschluss übermittelte die Beklagte sog. Positivdaten an Wirtschaftsauskunfteien wie die S. Hierbei handelt es sich um Informationen über das Zustandekommen und die Beendigung von Vertragsverhältnissen. Konkret übermittelte die Beklagte die zur Identifikation des Klägers notwendigen Daten (Name, Geburtsdatum und Anschrift) sowie den Tag des Abschlusses des Mobilfunkvertrages und die Vertragsnummer. Die zur Identifikation des Klägers notwendigen Daten lagen der S. vor der Übermittlung durch die Beklagte bereits aus anderen Quellen vor.
Der Kläger erhielt auf seine Anforderung am 27. September 2023 von der S. eine Auskunft über die bei ihr über ihn gespeicherten Daten, wegen deren Inhalts auf die Anlage K 3 Bezug genommen wird. Am 19. Oktober 2023 veröffentlichte die S. eine Pressemitteilung (Anlage B 2), nach der sie ab dem 20. Oktober 2023 damit beginnen wird, ihr von Telekommunikationsunternehmen übermittelte Positivdaten zu löschen. Hintergrund der Löschung sind Beschlüsse der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 11. Juni 2018 und 22. September 2021, nach denen die Übermittlung und Verarbeitung von Positivdaten an bzw. durch Wirtschaftsauskunfteien grundsätzlich nicht auf Art. 6 Abs. 1 UAbs. 1 Buchst. f) DSGVO gestützt werden könnten und es für eine Übermittlung und Verarbeitung dieser Daten regelmäßig einer Einwilligung der betroffenen Person bedürfe.
Mit Schreiben seiner Prozessbevollmächtigten vom 26. Oktober 2023 (Anlage K 1) forderte der Kläger die Beklagte zur Zahlung von Schadensersatz sowie zur Unterlassung auf.
Der Kläger behauptet, aufgrund der Übermittlung der Positivdaten durch die Beklagte einen Kontrollverlust über die Daten erlitten zu haben. Hierüber sei er schockiert gewesen.
Der Kläger beantragt,
1. die Beklagte zu verurteilen, an ihn Schadensersatz für einen immateriellen Schaden in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 5.000 € nebst Zinsen seit Rechtshängigkeit in Höhe von fünf Prozentpunkten über dem Basiszinssatz,
2. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000 €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, seine Positivdaten, also personenbezogene Daten, die keine Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern Informationen über die Beauftragung, Durchführung und Beendigung eines Vertrages, an Kreditauskunfteien, namentlich S. H. AG, Kormoranweg 5, 65201 Wiesbaden, zu übermitteln, ohne dass seine Einwilligung vorliegt, also insbesondere nicht auf der Basis von Art. 6 Abs. 1 lit. f) DSGVO zur Verbesserung der Qualität der Bonitätsbewertungen oder zum Schutz der beteiligten Wirtschaftsakteure vor kreditorischen Risiken,
3. festzustellen, dass die Beklagte verpflichtet ist, ihm alle künftigen materiellen Schäden und künftigen derzeit noch nicht vorhersehbaren immateriellen Schäden zu ersetzen, die ihm durch die unbefugte Verarbeitung personenbezogener Daten entstehen,
4. die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 579,17 € zu zahlen.
Die Beklagte beantragt,
die Klage abzuweisen.
Sie erhebt die Einrede der Verjährung.
I. Die Klage hat keinen Erfolg.
1. Sie ist teilweise unzulässig. Für den Feststellungsantrag (Klageantrag zu 3.) fehlt es an dem gemäß § 256 Abs. 1 ZPO erforderlichen Feststellungsinteresse. Es ist nicht zu erkennen, dass mit dem zukünftigen Eintritt von auf der Übermittlung der Positivdaten durch die Beklagte an die S. beruhenden materiellen oder immateriellen Schäden wenigstens zu rechnen ist (vgl. zum Maßstab Greger in: Zöller, Zivilprozessordnung, 35. Auflage 2024, § 256 ZPO Rn 25.10 mwN).
a) Einen konkreten materiellen Schaden hat der Kläger schon im Rahmen des hiesigen Verfahrens nicht dargelegt. Angesichts des Umstands, dass die S. nach ihrer Pressemitteilung vom 19. Oktober 2023 (Anlage B 2) bereits am 20. Oktober 2023 damit begonnen hat, die ihr von Telekommunikationsunternehmen übermittelten Positivdaten zu löschen, erscheint es als praktisch nicht vorstellbar, dass dem Kläger zukünftig noch materielle Schäden entstehen, die auf der Übermittlung der Positivdaten durch die Beklagte an die S. beruhen.
b) Worin zukünftige immaterielle Schäden des Klägers liegen könnten, ist nicht erkennbar. Die Beeinträchtigungen, die als immaterielle Schäden des Klägers in Betracht kommen (vgl. hierzu unten unter 2. a) aa)), betreffen einen abgeschlossenen Sachverhalt. Die Beklagte hat vorgetragen, dass gemäß der Pressemitteilung der S. vom 19. Oktober 2023 (Anlage B 2) mittlerweile auch die Positivdaten zum streitgegenständlichen Mobilfunkvertrag gelöscht worden seien. Anhaltspunkte dafür, dass dies unrichtig sein könnte, hat der Kläger - der dies allein mit Nichtwissen bestreitet - nicht dargetan.
2. Soweit die Klage zulässig ist, ist sie unbegründet.
a) Dem Kläger steht gegen die Beklagte kein Anspruch auf Zahlung von Schadensersatz aus Art. 82 Abs. 1 DSGVO zu (Klageantrag zu 1.). Dabei kann offenbleiben, ob die Beklagte durch die Übermittlung der Positivdaten an die S. im Streitfall deswegen gegen Art. 6 Abs. 1 DSGVO verstoßen hat, weil die in dieser Norm genannten Bedingungen für eine rechtmäßige Verarbeitung personenbezogener Daten nicht gegeben sind. Denn der bloße Verstoß gegen die DSGVO reicht nicht aus, um einen Anspruch aus Art. 82 Abs. 1 DSGVO zu begründen, da das Vorliegen eines materiellen oder immateriellen Schadens ebenso eine Voraussetzung für diesen Schadenersatzanspruch ist wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß (vgl. EuGH, Urteil vom 11. April 2024 – C-741/21, Rn. 34 mwN). Im Streitfall fehlt es an einem durch den – unterstellten – Verstoß der Beklagten gegen die DSGVO eingetretenen Schaden des Klägers.
aa) Der Ersatz eines immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO, um den es nach dem Klageantrag zu 1. allein geht, ist allerdings nicht davon abhängig, dass der der betroffenen Person entstandene Schaden einen gewissen Schweregrad erreicht hat (vgl. EuGH aaO Rn. 36). Ein – selbst kurzzeitiger – Verlust der Kontrolle über personenbezogene Daten kann einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (vgl. EuGH aaO Rn. 42 mwN). Auch allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ im Sinne der in Rede stehenden Bestimmung darstellen, wobei das Gericht zu prüfen hat, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH, Urteil vom 14. Dezember 2023 – C-340/21, Rn. 85 f.).
bb) Danach ist im Streitfall nicht der Nachweis erbracht, dass durch die Übermittlung der Positivdaten an die S. ein immaterieller Schaden des Klägers eingetreten ist.
(1)Dass der Kläger durch die Übermittlung dieser Daten einen auch nur kurzzeitigen oder geringfügigen Kontrollverlust über sie erlitten hätte, kann nicht festgestellt werden. Die zur Identifikation des Klägers notwendigen Daten (Name, Geburtsdatum und Anschrift) lagen der S. bereits vor deren Übermittlung durch die Beklagte aus anderen Quellen vor, sodass von vornherein nicht erkennbar ist, wie die Kontrolle des Klägers über sie infolge der Übermittlung beeinträchtigt worden sein könnte. Und Anhaltspunkte dafür, dass die Information darüber, dass der Kläger am 27. September 2019 einen Mobilfunkvertrag mit der Beklagten unter einer bestimmten Vertragsnummer abgeschlossen hat, bei der S. einem geringeren Schutz vor unberechtigter Verbreitung unterlegen hätte, als dies bei der Beklagten der Fall ist, bestehen nicht; ein fassbarer Kontrollverlust kann daher auch in dieser Hinsicht nicht festgestellt werden.
(2)Anhaltspunkte, welche die Feststellung rechtfertigen könnten, dass der Kläger eine missbräuchliche Verwendung der von der Beklagten an die S. übermittelten Positivdaten konkret befürchtete, bestehen nicht. Aus der persönlichen Anhörung des Klägers hat sich derartiges nicht hinreichend greifbar ergeben; der Kläger hat eher eine allgemeine Kritik an der S., ihrem Geschäftsmodel und der Intransparenz des SCHUFA-Scores zum Ausdruck gebracht.
(3)Ein immaterieller Schaden des Klägers liegt schließlich auch nicht darin, dass sein SCHUFA-Score von den übermittelten Positivdaten beeinträchtigt wurde. Der Kläger hat schon nicht dargetan, dass dieser Wert für ihn hierdurch negativer ausgefallen wäre.
b) Der geltend gemachte Unterlassungsanspruch (Klageantrag zu 2.) besteht nicht. Er ist losgelöst von der konkreten Verletzungsform auf ein allgemeines Verbot der Übermittlung von Positivdaten an Wirtschaftsauskunfteien ohne datenschutzrechtliche Einwilligung des Klägers gerichtet, obwohl jedenfalls nicht ausgeschlossen ist, dass eine solche Datenübermittlung aus Gründen der Betrugsprävention bei datenschutzkonformer Ausgestaltung des Prozesses zur Wahrung berechtigter Interessen im Einzelfall gemäß Art. 6 Abs. 1 UAbs. 1 Buchst. f) DSGVO gerechtfertigt sein kann (vgl. OLG Köln, Urteil vom 3. November 2023 – 6 U 58/23, juris Rn. 40 ff. mwN); von letzterem geht auch die DSK in ihren Beschlüssen vom 11. Juni 2018 und 22. September 2021 aus (vgl. die dort verwendeten Formulierungen „grundsätzlich“ und „regelmäßig“; siehe auch die Ausführungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in der als Anlage B 5 vorgelegten E-Mail.).
c) Mangels Hauptanspruchs hat der Kläger gegen die Beklagte auch keinen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten (Klageantrag zu 4.).
II. Die prozessualen Nebenentscheidungen beruhen auf § 91 Abs. 1 Satz 1 ZPO sowie auf § 709 Sätze 1 und 2 ZPO.
