Bewerbung über XING: Zu den Voraussetzungen eines Schadensersatzanspruches gem. Art. 82 Abs. 1 DSGVO
OLG Frankfurt a.M. v. 2.3.2022 - 13 U 206/20
Der Sachverhalt:
Der Kläger befand sich bei der Beklagten, einer Privatbank, in einem Bewerbungsprozess. Dieser fand über das Online-Portal XING statt. Der Kläger hat dort seine Kontaktdaten nebst Lebenslauf eingestellt. Im Zusammenhang mit dem Bewerbungsprozess versandte eine Mitarbeiterin der Beklagten über den dortigen Messenger-Dienst am 23.10.2018 eine Nachricht, die eigentlich für den Kläger bestimmt war, an eine dritte, nicht am Bewerbungsprozess beteiligte Person. Die Nachricht hatte folgenden Inhalt:
"Lieber Herr B, ich hoffe es geht Ihnen gut! Unser Leiter - Herr C - findet ihr Händler Profil sehr interessant. Jedoch können wir Ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, D".
Der Empfänger der Nachricht, Herr A, kannte den Kläger, da beide vor einiger Zeit innerhalb derselben Holding gearbeitet hatten. Er leitete die Nachricht an den Kläger weiter und machte den Kläger darauf aufmerksam, dass er die Versenderin auf den Fehler hingewiesen habe. Die Beklagte verschickte die streitgegenständliche Nachricht auch an den Kläger. Im weiteren Bewerbungsprozess erwähnte der Kläger den dargestellten Sachverhalt zunächst nicht. Nachdem die Beklagte dem Kläger am 10.12.2018 mitgeteilt hatte, dass der Kläger für das Bewerbungsverfahren nicht weiter berücksichtigt werde, rügte dieser die Versendung der Nachricht an Herrn A. Er beanstandete eine Datenschutzverletzung. Daraufhin meldete sich ein externer Datenschutzbeauftragter für die Beklagte bei dem Kläger. Er wies den Vorwurf eines Datenschutzverstoßes mangels Übermittlung sensibler Daten zurück und erklärte, es habe sich um einen Einzelfall gehandelt.
Der Klägers forderte von der Beklagte u.a. die Abgabe einer strafbewehrten Unterlassungs- und Verpflichtungserklärung, Auskunft über die Datenverarbeitung sowie Schadensersatz i.H.v. 2.500 €. Das LG hat der Klage teilweise stattgegeben. Insbesondere hat es dem Kläger Schmerzensgeld i.H.v. 1.000 € zugesprochen. Auf die Berufung der Beklagten hat das OLG das Urteil abgeändert und die Schadensersatzleistung versagt.
Die Gründe:
Dem Kläger steht ein Anspruch gegen die Beklagte auf Unterlassung der Verarbeitung seiner personenbezogenen Daten zu, sofern diese in der Form erfolgt wie mit der Nachricht vom 23.10.2018 an einen Dritten. Dies ergibt sich aus Art. 17 Abs. 1 der Verordnung (EU) 2016/679 DS-GVO, wie zwischenzeitlich höchstrichterlich geklärt wurde (vgl. BGH, Urteile v. 12.10.2021 - VI ZR 488/19 - VI ZR 489/19; BGH, Urteil v. 27.7.2020 - VI ZR 405/18, so dass ein Rückgriff auf §§ 823 Abs. 1 i.V.m. 1004 BGB nicht erforderlich ist, um einen lückenlosen Individualrechtsschutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten (so noch: OLG Dresden v. 14.12.2021 - 4 U 1278/21; OLG München V. 19.1.2021 - 18 U 7243/19). Die Voraussetzungen des sich aus Art. 17 Abs. 1 DS-GVO (auch) ergebenden Unterlassungsanspruchs sind erfüllt.
Im Hinblick auf den zugesprochenen Schadenersatzanspruch hat die Berufung der Beklagten allerdings Erfolg. Dem Kläger steht kein Anspruch aus Art. 82 DS-GVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der rechtswidrigen Datenverarbeitung zu. Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.
Zwar liegt, wie ausgeführt, ein Verstoß durch Übermittlung von personenbezogenen Daten an einen unbeteiligten Dritten vor. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rechtsprechung und Literatur umstritten. Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist.
Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens ("...Schaden entstanden ist") voraussetzt. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies - wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 - durch Pauschalen zu regeln. Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte.
Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist daher auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden. Der Kläger hatte allerdings keinen Schaden erklärt. Selbst bei Unterstellung einer "Schmach", vermag der Senat diese nicht als einen immateriellen Schaden zu bewerten. Denn der Kläger hatte nicht mitgeteilt, welche Größenordnung des Gehaltsrahmens angestrebt, ob die angebotene Summe, die durch variable Anteile ohnehin nicht die Obergrenze bildete und im noch laufenden Bewerbungsverfahren vorläufig war, mit einer Diskreditierung verbunden war.
Mehr zum Thema:
Daten und Sicherheit
Datentransfer nach Art. 49 DSGVO: Was geht, wenn sonst nichts geht? (Kremer/Christmann-Thoma/Kamm/Matejek/Schneider, CR 2021, 784)
Gleichwertige Alternativen zu Angemessenheitsbeschluss und geeigneten Garantien nach unionsrechtlicher Auslegung
Beratermodul IT-Recht
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge - 4 Wochen gratis nutzen!
LaReDa Hessen
Der Kläger befand sich bei der Beklagten, einer Privatbank, in einem Bewerbungsprozess. Dieser fand über das Online-Portal XING statt. Der Kläger hat dort seine Kontaktdaten nebst Lebenslauf eingestellt. Im Zusammenhang mit dem Bewerbungsprozess versandte eine Mitarbeiterin der Beklagten über den dortigen Messenger-Dienst am 23.10.2018 eine Nachricht, die eigentlich für den Kläger bestimmt war, an eine dritte, nicht am Bewerbungsprozess beteiligte Person. Die Nachricht hatte folgenden Inhalt:
"Lieber Herr B, ich hoffe es geht Ihnen gut! Unser Leiter - Herr C - findet ihr Händler Profil sehr interessant. Jedoch können wir Ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, D".
Der Empfänger der Nachricht, Herr A, kannte den Kläger, da beide vor einiger Zeit innerhalb derselben Holding gearbeitet hatten. Er leitete die Nachricht an den Kläger weiter und machte den Kläger darauf aufmerksam, dass er die Versenderin auf den Fehler hingewiesen habe. Die Beklagte verschickte die streitgegenständliche Nachricht auch an den Kläger. Im weiteren Bewerbungsprozess erwähnte der Kläger den dargestellten Sachverhalt zunächst nicht. Nachdem die Beklagte dem Kläger am 10.12.2018 mitgeteilt hatte, dass der Kläger für das Bewerbungsverfahren nicht weiter berücksichtigt werde, rügte dieser die Versendung der Nachricht an Herrn A. Er beanstandete eine Datenschutzverletzung. Daraufhin meldete sich ein externer Datenschutzbeauftragter für die Beklagte bei dem Kläger. Er wies den Vorwurf eines Datenschutzverstoßes mangels Übermittlung sensibler Daten zurück und erklärte, es habe sich um einen Einzelfall gehandelt.
Der Klägers forderte von der Beklagte u.a. die Abgabe einer strafbewehrten Unterlassungs- und Verpflichtungserklärung, Auskunft über die Datenverarbeitung sowie Schadensersatz i.H.v. 2.500 €. Das LG hat der Klage teilweise stattgegeben. Insbesondere hat es dem Kläger Schmerzensgeld i.H.v. 1.000 € zugesprochen. Auf die Berufung der Beklagten hat das OLG das Urteil abgeändert und die Schadensersatzleistung versagt.
Die Gründe:
Dem Kläger steht ein Anspruch gegen die Beklagte auf Unterlassung der Verarbeitung seiner personenbezogenen Daten zu, sofern diese in der Form erfolgt wie mit der Nachricht vom 23.10.2018 an einen Dritten. Dies ergibt sich aus Art. 17 Abs. 1 der Verordnung (EU) 2016/679 DS-GVO, wie zwischenzeitlich höchstrichterlich geklärt wurde (vgl. BGH, Urteile v. 12.10.2021 - VI ZR 488/19 - VI ZR 489/19; BGH, Urteil v. 27.7.2020 - VI ZR 405/18, so dass ein Rückgriff auf §§ 823 Abs. 1 i.V.m. 1004 BGB nicht erforderlich ist, um einen lückenlosen Individualrechtsschutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten (so noch: OLG Dresden v. 14.12.2021 - 4 U 1278/21; OLG München V. 19.1.2021 - 18 U 7243/19). Die Voraussetzungen des sich aus Art. 17 Abs. 1 DS-GVO (auch) ergebenden Unterlassungsanspruchs sind erfüllt.
Im Hinblick auf den zugesprochenen Schadenersatzanspruch hat die Berufung der Beklagten allerdings Erfolg. Dem Kläger steht kein Anspruch aus Art. 82 DS-GVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der rechtswidrigen Datenverarbeitung zu. Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.
Zwar liegt, wie ausgeführt, ein Verstoß durch Übermittlung von personenbezogenen Daten an einen unbeteiligten Dritten vor. Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rechtsprechung und Literatur umstritten. Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist.
Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens ("...Schaden entstanden ist") voraussetzt. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies - wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 - durch Pauschalen zu regeln. Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte.
Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist daher auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden. Der Kläger hatte allerdings keinen Schaden erklärt. Selbst bei Unterstellung einer "Schmach", vermag der Senat diese nicht als einen immateriellen Schaden zu bewerten. Denn der Kläger hatte nicht mitgeteilt, welche Größenordnung des Gehaltsrahmens angestrebt, ob die angebotene Summe, die durch variable Anteile ohnehin nicht die Obergrenze bildete und im noch laufenden Bewerbungsverfahren vorläufig war, mit einer Diskreditierung verbunden war.
Daten und Sicherheit
Datentransfer nach Art. 49 DSGVO: Was geht, wenn sonst nichts geht? (Kremer/Christmann-Thoma/Kamm/Matejek/Schneider, CR 2021, 784)
Gleichwertige Alternativen zu Angemessenheitsbeschluss und geeigneten Garantien nach unionsrechtlicher Auslegung
Beratermodul IT-Recht
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge - 4 Wochen gratis nutzen!