Datenschutzrecht: Immaterieller Schaden bei einem Verstoß gegen die DSGVO

Zwar muss ein Schaden nicht "erheblich" sein, um den Anforderungen des Art. 82 DSGVO zu genügen. Für einen Schaden im Sinne der Norm genügt aber nicht schon allein ein Verstoß gegen die Vorgaben und die implizit damit immer verbundenen abstrakten Risiken für den Datenschutz der davon betroffenen Personen (EuGH, 4. Mai 2023, C-300/21). Ein Schaden ist damit nicht allein schon das Risiko eines Schadens und auch nicht die Sorge, es könne irgendwann einmal zu einem Schaden kommen.  

Die Klage wird als unzulässig abgewiesen, soweit der Kläger Feststellungen sowie Unterlassungen begehrt.

Im Übrigen wird die Klage als unbegründet abgewiesen.

Die Kosten des Rechtsstreits werden dem Kläger auferlegt.

Das Urteil ist vorläufig vollstreckbar. Der Kläger darf die Vollstreckung gegen sich durch Sicherheitsleistung oder Hinterlegung in Höhe von 110 % des auf Grund des Urteiles gegen ihn vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung in Höhe von 110 % des von ihr jeweils zu vollstreckenden Betrages Sicherheit leistet.

Der Kläger nimmt die Beklagte in Anspruch, nachdem letztere Daten an die S. Holding AG weitergegeben hat.

Die Parteien schlossen am 19. November 2018 einen Vertrag über Telekommunikationsleistungen (Anlage B 1a).

Am 20. November 2018 übermittelte die Beklagte Daten an die S. Holding AG.

Am 19. Oktober 2023 veröffentlichte die S. Holding AG eine Pressemitteilung, dass sie Daten aus Telekommunikationsleistungen löscht.

Am 25. März 2024 erteilte die S. Holding AG dem Kläger eine Auskunft.

Unter dem 26. März 2024 richtete der Kläger an die Beklagte ein anwaltliches Schreiben, zu dessen Inhalt auf die Anlage K 1 Bezug genommen wird.

Der Kläger beantragt,

die Beklagte zu verurteilen, an den Kläger Schadensersatz für einen immateriellen Schaden in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 5.000 Euro nebst Zinsen seit Rechtshängigkeit in Höhe von fünf Prozentpunkten über dem Basiszinssatz,

die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000 Euro, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu sechs Monaten, im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, Positivdaten, also personenbezogene Daten, die keine Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Gegenstand haben, sondern Informationen über die Beauftragung, Durchführung und Beendigung eines Vertrags, an Kreditauskunfteien, namentlich die S. Holding AG, K.-weg …, … W., zu übermitteln, ohne dass eine Einwilligung des Klägers vorliegt, also insbesondere nicht auf der Basis von Art. 6 Absatz 1 Buchstabe f DSGVO zur Verbesserung der Qualität der Bonitätsbewertungen oder zum Schutz der beteiligten Wirtschaftsakteure vor kreditorischen Risiken,

festzustellen, dass die Beklagte verpflichtet ist, dem Kläger alle künftigen materiellen Schäden und künftigen derzeit noch nicht vorhersehbaren immateriellen Schäden zu ersetzen, die dem Kläger durch die unbefugte Verarbeitung personenbezogener Daten entstehen,

und die Beklagte zu verurteilen, an den Kläger vorgerichtliche Rechtsanwaltskosten in Höhe von 713,76 Euro zu zahlen.

Die Beklagte stellt den Antrag,

die Klage abzuweisen.

I.

1. Für den Feststellungsantrag fehlt es an dem nach § 256 Absatz 1 ZPO erforderlichen Feststellungsinteresse. Die bloße Erwartung des Klägers, es könne in Zukunft zu irgendwelchen einem Schadensausgleich zugängigen Nachteilen kommen, welche womöglich auf den von dem Kläger für die Vergangenheit vorgetragenen Datenabgriff zurückgeführt werden könnten, lässt einen solchen Schaden als rein theoretisch erscheinen, ohne dass dies für ein den Anforderungen des § 256 Absatz 1 ZPO genügendes Feststellungsinteresse ausreicht (so in ähnlicher Konstellation auch OLG Hamm, Urteil vom 15. August 2023, 7 U 19/23, Rn. 215, zitiert nach Juris), zumal nachdem die S. Holding AG veröffentlicht hat, sie habe die betreffenden Daten gelöscht.

2. Auch der Antrag auf eine Unterlassungsverurteilung ist unzulässig, denn der Unterlassungsantrag ist nicht hinreichend bestimmt.

Die Anforderungen des § 253 Absatz 2 Nr. 2 ZPO an die Bestimmtheit eines Unterlassungsantrages richten sich unter anderem daran aus, dass es nicht genügt, wenn der Antrag so gefasst ist, dass die eigentliche Bewertung, was rechtlich zulässig sein soll und was nicht, faktisch in ein zukünftiges Zwangsvollstreckungsverfahren vor dem Vollstreckungsgericht verlagert würde (jüngst etwa BGH, Urteil vom 2. Juni 2022, I ZR 140/15, Rn. 26, GRUR 2022, 1308, 1311, mit weiteren Nachweisen; in der Kommentierung etwa Bacher, in: Vorwerk/Wolf, BeckOK ZPO, 50. Edition, § 253 Rn. 63). Dies wäre hier bei einer Verurteilung, wie sie der Kläger anstrebt, schon deshalb der Fall, weil erst in dem Zwangsvollstreckungsverfahren rechtlich zu prüfen wäre, ob es für eine eventuelle Übermittlung eine datenschutzrechtliche Rechtsgrundlage gibt. Dies gilt zumal vor dem Hintergrund, als erst im Einzelfall der jeweils anfallenden Daten zum Beispiel auch zum Hintergrund zur Beendigung eines Vertrages auch außerhalb des bloßen Zahlungsverhaltens rechtlich bewertet werden könnte, ob die Voraussetzungen des Art. 6 Absatz 1 Buchstabe f DSGVO greifen oder nicht.

II.

Jedenfalls soweit die Klage nicht bereits unzulässig ist, ist sie nicht begründet.

1. Der Kläger hat keinen Anspruch auf Zahlungen, insbesondere nicht aus Art. 82 Absätze 1 und 2 DSGVO.

Selbst wenn es Verstöße der Beklagten gegen die Vorgaben der DSGVO im Zuge der Datenverarbeitung der Beklagten geben würde (was das Landgericht dahingestellt bleiben lässt), fehlt es jedenfalls an einem für einen Schadensersatzanspruch erforderlichen Schaden.

Zwar muss ein Schaden nicht "erheblich" sein, um den Anforderungen der Norm zu genügen (EuGH, Urteil vom 4. Mai 2023, C-300/21, Rn. 43 ff., NJW 2023, 1930, 1933). Für einen Schaden im Sinne der Norm genügt aber eben nicht schon allein ein Verstoß gegen die Vorgaben und die implizit damit immer verbundenen abstrakten Risiken für den Datenschutz der davon betroffenen Personen (EuGH, Urteil vom 4. Mai 2023, C-300/21, Rn. 33 ff., NJW 2023, 1930, 1932).

Ein Schaden ist damit nicht allein schon das Risiko eines Schadens und auch nicht die Sorge, es könne irgendwann einmal zu einem Schaden kommen.

Hier hält das Landgericht schon nicht für plausibel dargelegt, worin hier eine ernstliche Beeinträchtigung bestehen soll.

Es ist bereits nicht ersichtlich, welche Inhalte denn eine Auskunft der Beklagten an die S. Holding AG über den zwischen den Parteien geschlossenen Vertrag ernsthafte Sorgen des Klägers ausgelöst haben soll, welche der Zuordnung als ernsthafter Schaden zugänglich sein soll. Gerade bei "Allerweltsdaten" wie darüber, dass ein Mobiltelefonvertrag existiert, liegt derart fern, dass aus der Übermittlung von Vertragsdaten kurz nach Vertragsschluss eine auch nur ernstliche Sorge entstanden ist. Vor diesem Hintergrund trägt bereits der Tatsachenvortrag des Klägers nicht die Annahme eines Schadens.

Unabhängig dagegen spricht als Indiz auch deutlich dagegen, dass der Kläger ernstliche Sorgen über eine ihn beeinträchtigende Datenweitergabe der Beklagten hat, dass er sein Vertragsverhältnis mit der Beklagten weiterführt.

Erst recht gilt dies, nachdem die S. Holding AG veröffentlicht hatte, Telekommunikationsdaten zu löschen.

Darauf, ob die Beklagte berechtigt gewesen war, Daten an die S. Holding AG zu übermitteln, kommt es schon deshalb nach der materiell-rechtlichen Würdigung des Landgerichts gar nicht an.

III.

1. Die Entscheidung über die Kosten folgt aus § 91 Absatz 1 Satz 1 ZPO.

2. Der Ausspruch zur Vollstreckbarkeit beruht auf § 708 Nr. 11 ZPO in Verbindung mit § 711 ZPO.