Die Klägerin (nachfolgend auch „Klagepartei“ genannt) schloss als Verbraucherin am 27.08.2022 mit der Beklagten einen Telekommunikationsvertrag. Der Klagepartei wurde die Kundennummer ... zugewiesen. Im Zuge des Vertragsschlusses stellte die Beklagte der Klagepartei neben dem Vertragstext auch ihre Informationen gemäß Art. 13, 14 DSGVO zur Verfügung (sog. Merkblatt zum Datenschutz; siehe Anlage B 1). Mit dem Merkblatt zum Datenschutz informiert die Beklagte ihre Kunden über die Erhebung und Verarbeitung von personenbezogenen Daten. Darin weist die Beklagte darauf hin, dass sie personenbezogene Daten ihrer Kunden über das Zustandekommen und die Beendigung von Vertragsverhältnissen (Positivdaten) an Wirtschaftsauskunfteien wie die S. übermittelt.
Die Beklagte übermittelte im Anschluss an den Vertragsschluss mit ihren Kunden Positivdaten an Wirtschaftsauskunfteien wie die S.. Konkret übermittelte die Beklagte an die S. neben den zur Identifikation der jeweiligen Person erforderlichen Daten wie Name, Geburtsdatum und Anschrift, das Datum des Vertragsschlusses, die Vertragsnummer und – bei Beendigung des jeweiligen Mobilfunkvertrages – das Datum des Vertragsendes. Darüber hinausgehende Daten, wie nähere Informationen zum konkreten Inhalt des Vertrages oder zur Klagepartei selbst, hat die Beklagte nicht an die S. übermittelt. Voraussetzung für den Abschluss eines Mobilfunkvertrages ist die Erteilung eines SEPA-Lastschriftmandats. Die Erteilung eines SEPA-Lastschriftmandats setzt wiederum voraus, dass der Kunde über ein Bankkonto verfügt. Die Eröffnung eines Girokontos wird von den Banken an die S. gemeldet.
Eine Einwilligung in die Übermittlung der Daten durch die Beklagte an die S. erteilte der Kläger nicht.
Mit anwaltlichem Schreiben vom 18.12.2023 forderte die Klagepartei die Beklagte auf, anzuerkennen, dass die Weitergabe der Daten an Auskunfteien wie die S. Holding AG und C. GmbH rechtswidrig gewesen sei und die Beklagte der Klägerseite daher alle künftigen Schäden zu ersetzen habe, die durch die unbefugte Verarbeitung personenbezogener Daten entstanden sind und / oder noch entstehen werden. Ferner forderte die Klägerseite die Beklagte unter Fristsetzung bis zum 01.01.2024 zur Zahlung von Schadenersatz in Höhe von 5.000,00 EUR auf.
Die Klagepartei ist der Ansicht, dass ihr gegen die Beklagte ein Anspruch auf Schadensersatz gemäß Art. 82 Abs. 1 DSGVO aufgrund eines Verstoßes gegen Art. 6 Abs. 1 DSGVO. Zudem könne die Rechtmäßigkeit der Verarbeitung nicht auf ein vertragliches Erfordernis oder ein berechtigtes Interesse der Beklagten gestützt werden. Die Datenschutzkonferenz habe bereits in zwei Beschlüssen (11.06.2018 und 22.09.2021) festgestellt, dass Kreditauskunfteien in Bezug auf die Erhebung und Weiterverarbeitung von Positivdaten von Mobilfunkunternehmen kein berechtigtes Interesse hätten. Da die Beklagte sie nicht über die unrechtmäßige Weiterleitung der Daten an unberechtigte Dritte informiert habe, liege zudem ein Verstoß gegen Art. 34 DSGVO vor.
Sie behauptet, sie habe keine Einwilligung zur Datenweiterleitung erteilt. Zu beachten sei auch, dass die Datenübermittlung von Alltagsvorgängen im Wirtschaftsleben der Klägerseite geeignet sei, ihr zukünftige Vertragsschlüsse erheblich zu erschweren, ohne dass es für diese überschaubar und erkennbar ist, welche Daten zu diesem Zustand geführt haben. Es handele sich um personenbezogene Daten, die Informationen enthalten, die die Klägerseite stigmatisieren, bloßstellen und somit schaden. Die unberechtigte Weitergabe sensibler Informationen beeinträchtige ihre wirtschaftlichen Entscheidungen negativ und schränke ihre finanzielle Handlungsfreiheit ein. Durch die Datenweitergabe der Beklagten - ohne die Einwilligung der Klägerseite – habe sich bei ihr eine - den Alltag begleitende - Angst vor Datenverlust entwickelt. Sie befürchte, dass, nachdem einmal rechtswidrig Daten übermittelte worden seien, mehrfach bzw. wiederholt ohne Wissen der Klägerseite Daten weitergegeben würden oder bereits weitergegeben worden seien. Dies führe zu einer großen Unsicherheit bei der Klägerseite. Insbesondere hinsichtlich der möglichen negativen Entwicklung des S. und C.-Scores bestehe aufgrund der nicht vorhandenen Transparenz der Berechnungsgrundlage für diesen Score eine Unsicherheit und erhebliche Sorge dahingehend, dass der Erhalt von Krediten und der Abschluss eines Mietvertrags nicht möglich sei.
Insbesondere verspüre die Klägerseite eine unangenehme Anspannung bei der im Alltag notwendigen Zurverfügungstellung persönlicher Daten. Beispielsweise sei beim Abschluss eine Strom- oder Internetvertrages die Angabe von personenbezogenen Daten der Klägerseite erforderlich. Es bestehe ein beständiges Unbehagen bei Vertragsabschlüssen, die die Klägerseite bei der alltäglichen, nicht verzichtbaren Inanspruchnahme von Dienstleistungen belaste. Seit Kenntnis von der Datenweitergabe durch die Beklagte habe die Klägerseite die beständige Sorge, dass ihre Daten allgemein unsicher seien. Dies erschwere den Alltag und den Umgang mit im Alltag der Klägerseite notwendigen Vertragsverhältnissen. Durch die Datenweitergabe der Beklagten habe sich bei der Klägerseite das Gefühl entwickelt, verfolgt zu werden, da aus Sicht der Klägerseite unklar sei, wer die verlorenen Daten alles besitze und wer nun Kenntnis über die personenbezogenen Daten der Klägerseite habe. Die Klägerseite fühle sich nicht mehr sicher. Es bestehe eine Angst vor Datenverlust, die sie derzeit allgegenwärtig verspüre und die im Alltag zu Konzentrationsproblemen führe.
All dies rechtfertige ein Schmerzensgeld iHv mindestens 5.000,00 EUR.
Ihr stehe zudem gemäß §§ 1004 analog, 823 Abs. 1 und aus Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DS-GVO sowie Art. 17 DSGVO gegen die Beklagte ein Anspruch auf Unterlassung zu, seine personenbezogenen Daten in Zukunft unbefugt, d.h. konkret ohne Vorliegen einer datenschutzrechtlichen Rechtsgrundlage zu verarbeiten, insbesondere zu übermitteln.
Sie habe schließlich einen Anspruch auf Erstattung ihr vorgerichtlich entstandener Rechtsanwaltskosten.
Die Klagepartei beantragt,
1. die Beklagte zu verurteilen, an sie als Ausgleich für den Datenschutzverstoß einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 5.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über dem jeweiligen Basiszinssatz der EZB seit dem 02.01.2024 zu zahlen;
2. die Beklagte zu verurteilen, es zu unterlassen, Positivdaten der Klägerseite im Sinne der Datenschutz-Grundverordnung, das heißt, personenbezogene Daten der Klägerseite, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern Informationen über die Beantragung, Durchführung und Beendigung eines Vertrages darstellen, ohne dessen Einwilligung an Auskunfteien, insbesondere der S. Holding AG und der C. GmbH zu übermitteln und/oder auf sonstige Weise Auskunfteien, insbesondere der S. Holding AG sowie C. GmbH zugänglich zu machen;
3. festzustellen, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch die unbefugte Übermittlung ihrer Positivdaten an die Auskunfteien S. Holding AG und C. GmbH entstanden sind und / oder noch entstehen werden;
4. die Beklagte zu verurteilen, an die Klägerseite vorgerichtliche Rechtsanwaltskosten in Höhe von 1.134,55 EUR nebst Zinsen in Höhe von 5 %-Punkten über dem jeweiligen Basiszinssatz der EZB seit dem 02.01.2024 zu bezahlen.
Die Beklagte beantragt,
die Klage abzuweisen.
Sie ist der Ansicht, dass die Klageanträge zu 2) und 3) unzulässig seien.
Die Beklagte behauptet, die bei der S. gespeicherten Positivdaten zum streitgegenständlichen Mobilfunkvertrag seien mittlerweile gelöscht worden. Entsprechend übermittele die Beklagte auch keine Positivdaten mehr an die S..
Sie ist der Ansicht, dass ein Anspruch auf Schadensersatz gemäß Art. 82 DSGVO nicht bestehe. Es fehle bereits an einem Verstoß der Beklagten gegen die DSGVO. Die streitgegenständliche Datenübermittlung sei gemäß Art. 6 Abs. 1 Abs. lit. f) DSGVO gerechtfertigt gewesen. An der Übermittlung von Positivdaten der Klagepartei hätten die Beklagte, die Auskunfteien wie die S., die Vertragspartner der Auskunfteien und die Allgemeinheit ein berechtigtes Interesse, um den Eintritt von Betrugsszenarien vorzubeugen. Die Übermittlung der Positivdaten diene weiterhin dem berechtigten Interesse der Beklagten, der Auskunfteien, der Vertragspartner der Auskunfteien und der Verbraucher an der Vermeidung der Überschuldung von Verbrauchern. Durch die Übermittlung der Positivdaten der Klagepartei an die S. würden ferner präzisere Ausfallrisikoprognosen für die Beklagte und Vertragspartner der S. ermöglicht, wenn sie mit Verbrauchern Rechtsgeschäfte mit kreditorischen Risiken eingehen. Schließlich bestehe auch ein berechtigtes Interesse der Allgemeinheit an der Funktionalität von Auskunfteien. Die Übermittlung von Positivdaten der Klagepartei nach Vertragsschluss sei zum Erreichen der v.g. Zwecke und Ziele erforderlich. Diese könnten nicht gleichermaßen wirksam durch andere oder mildere Mittel erreicht werden. Indem sie Positivdaten der Klagepartei an Auskunfteien wie die S. übermittelt und sie die Klagepartei hierüber nicht zusätzlich neben dem Merkblatt zum Datenschutz benachrichtigt habe, habe sie keinen Verstoß gegen Art. 34 DSGVO begangen.
Bezüglich des weiteren Sach- und Streitstands wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie das Sitzungsprotokoll Bezug genommen.
Die Klage ist unbegründet.
Der Antrag zu 1) ist unbegründet. Dem Kläger steht kein Anspruch auf Ersatz eines immateriellen Schadens gegen die Beklagte nach Art. 82 Abs.1 DSGVO zu. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Dabei kann an dieser Stelle offenbleiben, ob der Beklagten Verstöße gegen die DSGVO i.S.d. Art. 82 Abs. 1 DSGVO vorzuwerfen sind, denn der Kläger hat diesbezüglich nicht hinreichend substantiiert dargelegt, dass ihm ein Schaden entstanden ist.
Nach der Entscheidung des EuGH (Urteil vom 04.05.2023, Rs. C-300/21, juris) gilt Folgendes:
Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen (EuGH, Urteil vom 04.05.2023, Rs. C-300/21, juris). Vielmehr muss der Kläger einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteil vom 04.05.2023, Rs. C-300/21, Rn. 32). Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadenersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (EuGH, a.a.O.). Erwägungsgrund 146 S. 3 DSGVO spricht für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DSGVO. Damit ist etwa eine Erheblichkeitsschwelle in dem Sinne, dass immaterielle Bagatellschäden nicht ausgeglichen werden müssen, nicht zu vereinbaren (EuGH, a.a.O.).
Mit Urteil vom 14.12.2023 (EuGH, Urteil vom 14.12.2023, Rs. C-340/21) hat der EuGH die Anforderungen an einen immateriellen Schaden weiter konkretisiert:
Eine Auslegung von Art. 82 Abs. 1 DSGVO dahin, dass der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird (EuGH, a.a.O., Rn. 83). Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (EuGH, a.a.O., Rn. 84). Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH, a.a.O., Rn. 85). Nach alledem kann ein „Kontrollverlust“ einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen (EuGH, a.a.O., Rn. 86).
Einen immateriellen Schaden hat der Kläger vorliegend jedoch nicht dargelegt und ein solcher ist auch nicht ersichtlich. Der Vortrag des Klägers stellt sich als floskelhafte Aneinanderreihung von Allgemeinplätzen ohne konkreten persönlichen individuellen Bezug dar. Im Übrigen hat er auch keinen Beweis für seine Behauptung angetreten.
Letztlich kann all dies aber auch dahinstehen, da kein Datenschutzverstoß vorliegt.
Das Gericht sieht bereits keinen Verstoß der Beklagtenseite gegen Art. 6 Abs. 1 DSGVO, da die von der Beklagten vorgenommene Datenübermittlung nach der gemäß Art. 6 Abs. 1 f) DSGVO vorzunehmenden Interessenabwägung gerechtfertigt ist. Das Gericht hat hierbei insbesondere in seine Erwägungen eingestellt, dass die Beklagte hierbei nicht nur eigene wirtschaftliche Interessen verfolgt, sondern durch die Datenübermittlung mittelbar auch Interessen der Verbraucher und somit letztlich auch der Klagepartei selbst gefördert werden. Dies trifft insbesondere zu, soweit die Beklagte die Einmeldung der Daten zum Schutz der Verbraucher vor Identitätsdiebstahl und sonstigen Betrugsstraftaten vornimmt. Ein verständiger Verbraucher hat offenkundig ein erhebliches Interesse daran, dass seine Daten nicht für kriminelle Zwecke missbraucht werden und insbesondere nicht widerrechtlich auf seinen Namen Rechtsgeschäfte abgeschlossen werden. Die Erschwerung solcher krimineller Handlungen liegt daher im wohlverstandenen Interesse nicht nur der Beklagten, sondern auch der Klagepartei und aller übrigen Telefonkunden.
Ein für die Klagepartei weniger belastendes, aber ebenso effektives Mittel zur Erreichung dieses Zwecks als die Übermittlung der Vertragsdaten an die S. ist weder vorgetragen noch sonst ersichtlich.
Indem die Beklagte Positivdaten der Klagepartei an Auskunfteien wie die S. übermittelte und die Beklagte die Klagepartei hierüber nicht zusätzlich neben dem Merkblatt zum Datenschutz benachrichtigte, hat die Beklagte keinen Verstoß gegen Art. 34 DSGVO begangen.
Dem Kläger steht ein Unterlassungsanspruch gegen die Beklagte aus Art. 17 Abs. 1 DSGVO nicht zu.
Es liegt kein Datenschutzverstoß vor (siehe oben).
Mangels Datenschutzverstoßes scheitert auch der Feststellungsantrag.
Der Anspruch auf vorgerichtliche Rechtsanwaltskosten sowie der Zinsanspruch teilen das rechtliche Schicksal der Hauptforderung.
Die prozessualen Nebenentscheidungen beruhen auf §§ 91, 708 Nr. 11, 711 ZPO.
Streitwert: 6.500,- € (Antrag zu 1 = 5.000,- €; Antrag zu 2 = 1.000 €; Antrag zu 3 = 500 €).
