DatenschutzWoche vom 15. April 2024

EuGH bestätigt seine Rechtsprechungslinie zu Art. 82 DSGVO

In seiner aktuellen Entscheidung vom 11. April 2024 (Rs. C‑741/21) hat der EuGH zu einer datenschutzrechtlichen Standardkonstellation Stellung genommen: Schadensersatz nach unerwünschter Zusendung von Werbung. Die Entscheidung enthält zwar keine bahnbrechenden Neuerungen, ist aber für Unternehmen von praktischem Interesse. Behandelt werden wiederkehrende Streitpunkte: der Schadensbegriff des Art. 82 DSGVO, der Werbewiderspruch und die Frage des Mitarbeiterexzesses.

Zugrunde lag ein Verfahren vor dem Landgericht Saarbrücken. Ein Rechtsanwalt hatte den juristischen Informationsdienstleister juris auf Schadensersatz nach Art. 82 DSGVO verklagt. Er hatte der Nutzung seiner personenbezogenen Daten durch juris zu Werbezwecken widersprochen und dennoch weitere Werbesendungen erhalten. Juris wies ein Verschulden mit Verweis auf einen internen Prozess zum Umgang mit Werbewidersprüchen zurück.

Der EuGH stellt nochmals klar, dass ein Verstoß gegen die DSGVO allein noch keinen Schaden darstellt. Gleichzeitig gäbe es aber keine Bagatellgrenze und auch der Verlust der Kontrolle über Daten, selbst für kurze Zeit, könne bereits ein immaterieller Schaden sein. Die Beweislast liege insoweit beim Kläger. Zudem verneinte der EuGH die Frage des Landgerichts Saarbrücken, ob die Kriterien für die Bußgeldbemessung nach Art. 83 DSGVO auch auf den Schadensersatzanspruch anwendbar seien.

Hohe Hürden stellt der EuGH auch für eine Exkulpation des Unternehmens auf. Ein bloßer Verweis darauf, dass ein Mitarbeiter weisungswidrig gehandelt habe, reiche nicht aus, um die Haftung auszuschließen. Vielmehr müsse der Verantwortliche nachweisen, dass es keinen Kausalzusammenhang zwischen einem eigenen Verstoß gegen die Verordnung und dem Handeln des Mitarbeiters gebe. Mit dem Verweis auf eine Datenschutzrichtlinie können sich Unternehmen vor dem Hintergrund dieser Argumentation nur schwer gegen Schadensersatzansprüche verteidigen.

OLG Celle: Keine Fließbandberufung in datenschutzrechtlichen Massenverfahren

Bei Datenpannen mit einer Vielzahl von Betroffenen werden regelmäßig Massenverfahren angestrengt. Angesichts der häufig geringen Streitwerte ist dies nur dann ein lukratives Geschäftsmodell, wenn zahlreiche Betroffene akquiriert und Schriftsätze mit Textbausteinen wie am Fließband produziert werden können. Das Oberlandesgericht Celle (Urteil vom 4. April 2024 – 5 U 77/23) erschwert in einer aktuellen Entscheidung den Anbietern solcher Massenverfahren das Einlegen von Rechtsmitteln.

Im vorliegenden Fall hatte das Landgericht Hildesheim am 31. Januar 2023 (3 O 102/22) eine Schadensersatz- und Unterlassungsklage gegen das von dem Unternehmen Meta betriebene soziale Netzwerk Facebook abgewiesen. In den vergangenen Jahren gab es eine Vielzahl ähnlicher Klagen, denen das Auftauchen von Facebook-Nutzerdaten im Internet zugrunde lag, die von unberechtigten Dritten „gescraped“ worden waren. Scraping (engl. scrape, deutsch: kratzen, schaben, abschaben) ist die Kurzform von „Screen Scraping“ oder „Web Scraping“. Dabei handelt es sich um das automatisierte Auslesen von Website-Inhalten. Der Unterschied zum Hacking besteht darin, dass nur öffentlich zugängliche Daten ausgelesen und gesammelt werden.

Gegen das abweisende Urteil hatte der Kläger Berufung eingelegt, die jedoch als unzulässig verworfen wurde. Ausgangspunkt der Begründung des OLG Celle ist § 520 Abs. 3 S. 2 Nr. 2 ZPO, wonach in der Berufungsbegründung die Umstände anzugeben sind, aus denen sich nach Ansicht des Berufungsklägers die Rechtsverletzung und deren Erheblichkeit für die angefochtene Entscheidung ergeben soll. Es genüge nicht, die Auffassung des Erstgerichts mit formelhaften Sätzen oder allgemeinen Floskeln anzugreifen oder lediglich auf das erstinstanzliche Vorbringen zu verweisen. Jedenfalls in der Rechtsmittelinstanz sind Textbausteine in Massenverfahren bei Datenpannen nicht ausreichend - es bedarf einer genauen Auseinandersetzung mit dem angefochtenen Urteil.

Die Begründung überzeugt. Es spricht wenig dafür, dass sich eine Berufung in der Wiederholung einer bausteinartigen Klagebegründung erschöpfen kann, die sich mit der Argumentation des Ausgangsgerichts nicht näher auseinandersetzt.

Internationale Nachrichten

• Frankreich: Die französische Datenschutzaufsicht CNIL hat gegen ein Marketingunternehmen ein Bußgeld in Höhe von 525.000 Euro verhängt, weil das Unternehmen personenbezogene Daten ohne Einwilligung der Betroffenen für kommerzielle Zwecke verwendet hatte.

Aktuelle Gerichtsentscheidungen

• LAG Düsseldorf, Urteil vom 28.11.2023, Az. 3 Sa 285/23 (BeckRS 2023, 33737): Keine Anspruch auf Ersatz immaterieller Schäden nach Art. 82 Abs. 1 DSGVO für eine verspätete und unvollständige Auskunft gemäß Art. 15 DSGVO.
• OLG Celle, Urteil vom 26.01.2023, Az. 8 U 109/22 (juris): Schreiben des Versicherers an den Versicherungsnehmer sind grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO anzusehen.
• BGH, Beschluss vom 23.01.2024, Az. II ZB 7/23 (Volltext): Der Geschäftsführer einer GmbH hat keinen Anspruch aus Art. 17 Abs. 1 DSGVO auf Löschung seines Geburtsdatums und seines Wohnorts im Handelsregister.
• OLG München, Endurteil vom 15.02.2024, Az. 14 U 1665/23 e (BeckRS 2024, 6382): Sinn und Zweck von Art. 15 Abs. 1, Abs. 3 DSGVO ist es nicht, einem Versicherungsnehmer, der seine Unterlagen nicht aufbewahrt hat, die Geltendmachung vermögensrechtlicher Ansprüche zu ermöglichen.
• OLG Dresden, Urteil vom 20.02.2024, Az. 4 U 1608/23 (juris): Ein „Kontrollverlust“ allein reicht für einen immateriellen Schaden nach Art. 82 DSGVO nicht aus, wenn die zugrundeliegende Befürchtung unter Berücksichtigung der Umstände des Einzelfalls nicht glaubhaft ist.
• OLG Dresden, Urteil vom 20.02.2024, Az. 4 U 1634/23 (juris): Liegt der Datenschutzverstoß (hier „Scraping“) bereits mehrere Jahre zurück, reicht die bloß theoretische Möglichkeit, dass es in Zukunft zu einem Schaden kommen könnte, für ein Feststellungsinteresse nicht aus.
• OLG Dresden, Beschluss vom 01.03.2024, Az. 4 U 1550/23 (juris): Es kann eine datenschutzrechtlich zulässige Zweckänderung darstellen, wenn ein Rechtsanwalt durch Akteneinsicht erlangte Daten nutzt, um Insolvenzgläubiger auf ihre Rechtsschutzmöglichkeiten hinzuweisen.
• LG Paderborn, Urteil vom 12.03.2024, Az. 2 O 325/23 (juris): Ein Widerspruch gegen Werbung mittels elektronischer Post muss von Verantwortlichen umgehend respektiert werden; die Umsetzung hat unverzüglich zu erfolgen.
• LG Frankfurt a. M., Urteil vom 19.03.2024, Az. 2-10 O 691/23 (BeckRS 2024, 5840): Ein abstrakter „Kontrollverlust“ reicht allein für einen immateriellen Schaden i.S.d. Art. 82 DSGVO nicht aus, für eine darüberhinausgehende Beeinträchtigung trägt der Kläger die Beweislast.
• OLG Celle, Urteil vom 04.04.2024, Az. 5 U 77/23 (juris): Die Zulässigkeit einer Berufung im einem Verfahren zum Schadensersatz wegen eines DSGVO-Verstoßes setzt voraus, dass ihre Berufungsbegründung auf den konkreten Streitfall zugeschnitten ist.
• EuGH, Urteil vom 11.04.2024, Rs. C‑741/21 (Volltext): Für eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO ist es nicht ausreichend, dass der Datenschutzverstoß durch ein Fehlverhalten eines Beschäftigten verursacht wurde.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Hamburg: „Tätigkeitsbericht für das Jahr 2023“ – Pressemitteilung vom 15.04.2024