Das Oberlandesgericht Frankfurt am Main hat ein Urteil des
Landesgerichts Darmstadt (13 O 244/19) hinsichtlich des Unterlassungsanspruchs
wegen Datenschutzverletzung bestätigt, jedoch einen weitergehenden Anspruch auf
Zahlung eines Schadensersatzes abgelehnt und Stellung zu den noch umstrittenen
Voraussetzungen eines immateriellen Schadensersatzes nach Art. 82 DSGVO
bezogen.
Ausgangsfall und Entscheidung der Vorinstanz
Der Kläger hatte sich über das Online-Portal Xing bei einer Bank beworben. Diese sendete eine Nachricht nicht nur an ihn selbst, sondern versehentlich auch an einen Dritten. Die Nachricht enthielt unter anderem den Nachnamen, das Geschlecht sowie Hinweise auf die Gehaltsvorstellungen des Klägers. Da es sich bei dem Dritten zufälligerweise um einen ehemaligen Kollegen des Klägers handelte, setzte dieser den Kläger hiervon in Kenntnis. Als der Kläger aus dem Bewerbungsverfahren ausschied, forderte er wegen der unrechtmäßigen Datenübermittlung die zukünftige Unterlassung sowie Schadensersatz. Das Landgericht Darmstadt gab dem Kläger überwiegend recht und verurteilte die Beklagte zur Unterlassung und Zahlung eines immateriellen Schadenersatzes in Höhe von 1.000,- €.
Die Entscheidung des OLG Frankfurt
Das OLG bestätigte zunächst das Vorliegen eines Unterlassungsanspruchs
des Klägers welcher aus Art. 17 DSGVO folge.
Die beklagte Bank habe durch die Versendung der Nachricht
personenbezogene Daten ohne Einwilligung des Klägers im verarbeitet.
Bei den sich aus der Nachricht ergebenden Informationen, nämlich
Nachname, Geschlecht, der Umstand eines laufenden Bewerbungsverfahrens und der
Gehaltsvorstellung des Klägers handelt es sich um personenbezogene
Daten im Sinne der DSGVO. Hier
stütze sich das Gericht zum Teil auf die Legaldefinition des Art. 4 Nr. 1
DSGVO, welche Beispiele für Informationen enthält, die sich auf eine
identifizierte oder identifizierbare natürliche Person beziehen. Hier ist
ausdrücklich der Name genannt und auch bereits allein der Nachname stelle nach
dem OLG ein gängiges Identifikationsmerkmal. Eine zweifelsfreie Identifikation
der betreffenden Person sei nicht erforderlich. Doch auch sachliche
Informationen könnten personenbezogene Daten darstellen. So verhalte es sich
mit den aus der Nachricht herauslesbaren Angaben hinsichtlich eines laufenden
Bewerbungsprozess bei der Beklagten. Weiterhin ließen sich aus der in der
Nachricht genannten Gehaltsobergrenze der Bank Rückschlüsse auf die
Gehaltsvorstellungen des Klägers ziehen.
Dem Einwand der beklagten Bank, wonach keine Verarbeitung der
Daten im Sinne der DSGVO vorlegen habe, da die Nachricht nur durch das
Verklicken einer Mitarbeiterin an einen zufälligen Dritten geschickt worden
sei, wies das OLG zurück, da bereits nach der Legaldefinition des Art. 4 Nr. 2
DSGVO Vorgänge ohne Hilfe automatisierter Verfahren mitumfasst sind.
Da der Kläger nicht in die die Verarbeitung seiner Daten
eingewilligt hatte und die Weitergabe im Bewerbungsverfahren nicht notwendig
war, war das Versenden der Nachricht auch rechtswidrig.
Die für den Unterlassungsanspruch zusätzlich noch
erforderliche Wiederholungsgefahr konnte die Beklagte auch trotz abgegebener
Unterlassungserklärung nicht widerlegen, da diese nur den konkreten Wortlauft
der Nachricht umfasste und die Bank keine Maßnahmen darlegen konnte, wie ähnliche
Verstöße verhindert werden könnten, sodass auch eine sog. Erstbegehungsgefahr
in Bezug auf weitere Daten, die nicht Gegenstand der Nachricht waren, bestehe.
Die Bank hatte sich die Einhaltung der Datenschutzvorschriften durch ihre
Mitarbeiter lediglich durch eine Unterschrift bestätigen lassen. Erforderlich
sei jedoch beispielsweise die Durchführung von Schulungsmaßnahmen gewesen, um
die Mitarbeiter hierfür auch zu sensibilisieren.
Da die Bank den Kläger nicht umgehend von ihrem Fehler in
Kenntnis gesetzt hatte, sah das Gericht zudem auch einen Verstoß gegen Art. 34
DSGVO, wonach betroffene Personen unverzüglich einer Verletzung zu unterrichten
sind.
Trotz der beiden festgestellten Verstöße gegen Art. 17 DSGVO und Art. 34 DSGVO verneinte das Gericht jedoch,
anders als die Vorinstanz, einen Schadensersatzanspruch des Klägers. Dieser
habe den Schadenseintritt nicht konkret darlegen können.
Hierbei bezog das OLG Stellung zu der in der juristischen
Literatur und Rechtsprechung umstrittenen Frage der Voraussetzungen des
immateriellen Schadensersatzanspruchs nach Art. 82 DSGVO.
Die Vorinstanz – das Landgericht Darmstadt – sah bereits den
mit dem Datenschutzverstoß verbundenen Kontrollverlust über die Daten als
ausreichend für eine Schadenersatzanspruch an. Damit befindet es sich bei den
Stimmen, welche sich darauf berufen, dass der Schadensbegriff europarechtlich
weit auslegt werden sollte, um den Betroffenen einen möglichst vollständigen
und wirksamen Schadensersatz zu gewähren.
Das OLG jedoch schloss sich mit seiner Entscheidung sich den
Stimmen an, welche den Nachweis eines konkreten Schadens fordern. Hierfür spreche bereits der Wortlaut Art. 82
Abs. 1 DSGVO wonach ein Schaden entstehen müsse. Um ein Ausufern von Schadensersatzforderungen
auch in Fällen von folgenlosen Datenschutzverstößen zu vermeiden, seien erhöhte
Anforderungen an den Schadensersatzanspruch zu stellen.
Daher sah das OLG den Vortrag des Klägers, wonach er das
Unterliegen in den Gehaltsverhandlungen als Schmach empfunden habe, welche er
nicht an Dritte weitergegeben hätte als ungenügend an. Dieser hätte das Gericht
davon überzeugen müssen, dass die aus der Nachricht hervorgehende Ablehnung
seiner Forderung tatsächlich mit einer Diskreditierung verbunden war.
Die Frage der Ansprüche an den Schadensersatzanspruchs nach
Art. 82 DS-GVO ist hiermit noch nicht geklärt. Der österreichische Oberste
Gerichtshof mit der Auffassung, es sei der Nachweis eines Schadens erforderlich
und das Bundesarbeitsgericht, welches den Nachweis eines Schadens nicht für
notwendig hält, haben die entsprechenden Fragen bereits dem Europäischen
Gerichtshof zur Vorabentscheidung vorgelegt.