OLG Frankfurt zu Unterlassung und Schadensersatz nach DSGVO wegen Versendung einer Nachricht an den falschen Empfänger

Unterlassung und Schadenersatz nach DSGVO

Das Oberlandesgericht Frankfurt am Main hat ein Urteil des Landesgerichts Darmstadt (13 O 244/19) hinsichtlich des Unterlassungsanspruchs wegen Datenschutzverletzung bestätigt, jedoch einen weitergehenden Anspruch auf Zahlung eines Schadensersatzes abgelehnt und Stellung zu den noch umstrittenen Voraussetzungen eines immateriellen Schadensersatzes nach Art. 82 DSGVO bezogen. 

Ausgangsfall und Entscheidung der Vorinstanz

 

Der Kläger hatte sich über das Online-Portal Xing bei einer Bank beworben. Diese sendete eine Nachricht nicht nur an ihn selbst, sondern versehentlich auch an einen Dritten. Die Nachricht enthielt unter anderem den Nachnamen, das Geschlecht sowie Hinweise auf die Gehaltsvorstellungen des Klägers. Da es sich bei dem Dritten zufälligerweise um einen ehemaligen Kollegen des Klägers handelte, setzte dieser den Kläger hiervon in Kenntnis. Als der Kläger aus dem Bewerbungsverfahren ausschied, forderte er wegen der unrechtmäßigen Datenübermittlung die zukünftige Unterlassung sowie Schadensersatz. Das Landgericht Darmstadt gab dem Kläger überwiegend recht und verurteilte die Beklagte zur Unterlassung und Zahlung eines immateriellen Schadenersatzes in Höhe von 1.000,- €.

Die Entscheidung des OLG Frankfurt

Das OLG bestätigte zunächst das Vorliegen eines Unterlassungsanspruchs des Klägers welcher aus Art. 17 DSGVO folge.

Die beklagte Bank habe durch die Versendung der Nachricht personenbezogene Daten ohne Einwilligung des Klägers im verarbeitet.

Bei den sich aus der Nachricht ergebenden Informationen, nämlich Nachname, Geschlecht, der Umstand eines laufenden Bewerbungsverfahrens und der Gehaltsvorstellung des Klägers handelt es sich um personenbezogene Daten im Sinne der DSGVO.  Hier stütze sich das Gericht zum Teil auf die Legaldefinition des Art. 4 Nr. 1 DSGVO, welche Beispiele für Informationen enthält, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Hier ist ausdrücklich der Name genannt und auch bereits allein der Nachname stelle nach dem OLG ein gängiges Identifikationsmerkmal. Eine zweifelsfreie Identifikation der betreffenden Person sei nicht erforderlich. Doch auch sachliche Informationen könnten personenbezogene Daten darstellen. So verhalte es sich mit den aus der Nachricht herauslesbaren Angaben hinsichtlich eines laufenden Bewerbungsprozess bei der Beklagten. Weiterhin ließen sich aus der in der Nachricht genannten Gehaltsobergrenze der Bank Rückschlüsse auf die Gehaltsvorstellungen des Klägers ziehen.

Dem Einwand der beklagten Bank, wonach keine Verarbeitung der Daten im Sinne der DSGVO vorlegen habe, da die Nachricht nur durch das Verklicken einer Mitarbeiterin an einen zufälligen Dritten geschickt worden sei, wies das OLG zurück, da bereits nach der Legaldefinition des Art. 4 Nr. 2 DSGVO Vorgänge ohne Hilfe automatisierter Verfahren mitumfasst sind.

Da der Kläger nicht in die die Verarbeitung seiner Daten eingewilligt hatte und die Weitergabe im Bewerbungsverfahren nicht notwendig war, war das Versenden der Nachricht auch rechtswidrig.

Die für den Unterlassungsanspruch zusätzlich noch erforderliche Wiederholungsgefahr konnte die Beklagte auch trotz abgegebener Unterlassungserklärung nicht widerlegen, da diese nur den konkreten Wortlauft der Nachricht umfasste und die Bank keine Maßnahmen darlegen konnte, wie ähnliche Verstöße verhindert werden könnten, sodass auch eine sog. Erstbegehungsgefahr in Bezug auf weitere Daten, die nicht Gegenstand der Nachricht waren, bestehe. Die Bank hatte sich die Einhaltung der Datenschutzvorschriften durch ihre Mitarbeiter lediglich durch eine Unterschrift bestätigen lassen. Erforderlich sei jedoch beispielsweise die Durchführung von Schulungsmaßnahmen gewesen, um die Mitarbeiter hierfür auch zu sensibilisieren.

Da die Bank den Kläger nicht umgehend von ihrem Fehler in Kenntnis gesetzt hatte, sah das Gericht zudem auch einen Verstoß gegen Art. 34 DSGVO, wonach betroffene Personen unverzüglich einer Verletzung zu unterrichten sind.

Trotz der beiden festgestellten Verstöße gegen Art. 17 DSGVO und Art. 34 DSGVO verneinte das Gericht jedoch, anders als die Vorinstanz, einen Schadensersatzanspruch des Klägers. Dieser habe den Schadenseintritt nicht konkret darlegen können.

Hierbei bezog das OLG Stellung zu der in der juristischen Literatur und Rechtsprechung umstrittenen Frage der Voraussetzungen des immateriellen Schadensersatzanspruchs nach Art. 82 DSGVO.

Die Vorinstanz – das Landgericht Darmstadt – sah bereits den mit dem Datenschutzverstoß verbundenen Kontrollverlust über die Daten als ausreichend für eine Schadenersatzanspruch an. Damit befindet es sich bei den Stimmen, welche sich darauf berufen, dass der Schadensbegriff europarechtlich weit auslegt werden sollte, um den Betroffenen einen möglichst vollständigen und wirksamen Schadensersatz zu gewähren.

Das OLG jedoch schloss sich mit seiner Entscheidung sich den Stimmen an, welche den Nachweis eines konkreten Schadens fordern.  Hierfür spreche bereits der Wortlaut Art. 82 Abs. 1 DSGVO wonach ein Schaden entstehen müsse. Um ein Ausufern von Schadensersatzforderungen auch in Fällen von folgenlosen Datenschutzverstößen zu vermeiden, seien erhöhte Anforderungen an den Schadensersatzanspruch zu stellen.

Daher sah das OLG den Vortrag des Klägers, wonach er das Unterliegen in den Gehaltsverhandlungen als Schmach empfunden habe, welche er nicht an Dritte weitergegeben hätte als ungenügend an. Dieser hätte das Gericht davon überzeugen müssen, dass die aus der Nachricht hervorgehende Ablehnung seiner Forderung tatsächlich mit einer Diskreditierung verbunden war.

Die Frage der Ansprüche an den Schadensersatzanspruchs nach Art. 82 DS-GVO ist hiermit noch nicht geklärt. Der österreichische Oberste Gerichtshof mit der Auffassung, es sei der Nachweis eines Schadens erforderlich und das Bundesarbeitsgericht, welches den Nachweis eines Schadens nicht für notwendig hält, haben die entsprechenden Fragen bereits dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt.

OLG Frankfurt: Zur Berechtigung des Betreibers eines sozialen Netzwerkes, Posts mit Fehlinformationen zur Corona-Impfung zu löschen (OLG Frankfurt am Main, Urteil vom 14. November 2024, Az.: 16 U 52/23)

Das OLG Frankfurt entschied, dass soziale Netzwerke wie Facebook berechtigt sind, Beiträge mit Fehlinformationen über Corona-Impfungen zu löschen, wenn dies in den AGB vorgesehen ist. Nutzerrechte wie die Meinungsfreiheit müssen dabei angemessen berücksichtigt werden.

Weiterlesen »
OLG Frankfurt: Zur Berechtigung des Betreibers eines sozialen Netzwerkes, Posts mit Fehlinformationen zur Corona-Impfung zu löschen (OLG Frankfurt am Main, Urteil vom 14. November 2024, Az.: 16 U 52/23)

Das OLG Frankfurt entschied, dass soziale Netzwerke wie Facebook berechtigt sind, Beiträge mit Fehlinformationen über Corona-Impfungen zu löschen, wenn dies in den AGB vorgesehen ist. Nutzerrechte wie die Meinungsfreiheit müssen dabei angemessen berücksichtigt werden.

Weiterlesen »