In einem von uns in den Vorinstanzen geführten Verfahren hat der VI. Zivilsenat des Bundesgerichtshofs am 26. September 2023 beschlossen, das Verfahren auszusetzen und verschiedene Fragen zur Auslegung der DSGVO dem EuGH zur Vorabentscheidung vorzulegen.
Sachverhalt
Der Kläger nimmt die Beklagte wegen der Weitergabe persönlicher Daten auf Unterlassung und Ersatz immateriellen Schadens in Anspruch.
Der Kläger befand sich bei der Beklagten in einem Bewerbungsprozess, der über das Online-Portal Xing stattfand. Im Zuge dessen versandte eine Mitarbeiterin der Beklagten eine Nachricht, die nur für den Kläger bestimmt war, über das Online-Portal auch an Dritte, die nicht am Bewerbungsprozess beteiligt waren.
Die Nachricht mit persönlicher Anrede bekundete, dass das Profil des Klägers sehr interessant sei, man seine Gehaltsvorstellungen jedoch nicht erfüllen könne. Sodann wurde ein konkretes Gehaltsangebot unterbreitet.
Im Wortlaut hatte die Nachricht folgenden Inhalt:
„Lieber Herr [Nachname des Klägers], ich hoffe es geht Ihnen gut! Unser Leiter Herr […] – findet ihr Händler Profil sehr interessant. Jedoch können wir Ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße […]“.
Ein Dritter, der den Kläger kannte und die Nachricht erhalten hatte, leitete ihm die Nachricht weiter und fragte, ob es sich um eine Nachricht für den Kläger handele und ob dieser auf Stellensuche sei.
Der Kläger machte geltend, sein immaterieller Schaden liege darin, dass nunmehr mindestens eine weitere Person über Umstände Kenntnis habe, die der Diskretion unterlägen. Es bestehe die Gefahr, dass der in der gleichen Branche tätige Dritte die Daten weitergegeben habe oder sich durch ihre Kenntnis als Konkurrent auf etwaige Stellen im Bewerbungsprozess einen Vorteil habe verschaffen können. Außerdem empfinde er das „Unterliegen“ in den Gehaltsverhandlungen als Schmach, von der Dritte keine Kenntnis erlangen sollten.
Der Kläger hat einen Unterlassungsanspruch sowie immateriellen Schadensersatz von mindestens 2.500,00 € geltend gemacht. Das Landgericht hat der Klage teilweise stattgegeben, die Beklagte zur Unterlassung verurteilt und dem Kläger einen Betrag in Höhe von 1.000,00 € nebst Zinsen zuerkannt.
Auf Berufung der Beklagten hin, hat das Oberlandesgericht das Urteil bezüglich des Schadensersatzanspruchs abgeändert und die Klage insoweit abgewiesen.
Das Berufungsgericht hat einen Unterlassungsanspruch gemäß Art. 17 Abs. 1 DSGVO angenommen, sofern dies in der Form erfolge wie in der streitgegenständlichen Nachricht.
Die Voraussetzungen für einen Schadenersatzanspruch aus Art. 82 DSGVO lägen nicht vor, da es an der Darlegung des Eintritts eines Schadens fehle. Ein Datenschutzverstoß liege zwar vor, es sei jedoch auch der Nachweis eines konkreten – auch immateriellen – Schadens erforderlich. Die Bezeichnung des Vorfalls als „Schmach“ genüge, selbst bei Unterstellung einer solchen, nicht als Nachweis eines immateriellen Schadens.
Der Kläger wendet sich dagegen mit der Revision und verfolgt seine Ansprüche in vollem Umfang weiter, während die Beklagte die vollständige Klageabweisung begehrt.
Vorlage an den Europäischen Gerichtshof
Der Erfolg der Revisionen der Parteien hängt nach Ansicht des Bundesgerichtshofs von der Auslegung des Unionsrechts ab.
Der Anwendungsbereich der DSGVO ist eröffnet. Die Verarbeitung der personenbezogenen Daten durch die Beklagte war gemäß Art. 6 Abs. 1 DSGVO unrechtmäßig.
- a) Ist Art. 17 DSGVO dahingehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangt?
- b) Kann sich ein solcher Unterlassungsanspruch (auch) aus Art. 18 DSGVO oder einer sonstigen Bestimmung der DSGVO ergeben?
Der Kläger möchte nicht die Löschung seiner personenbezogenen Daten, sondern vorbeugend eine Wiederholung der unrechtmäßigen Verarbeitung durch eine Unterlassungsklage verhindern. Ob dieses Verlangen auf Art. 17 Abs. 1 DSGVO gestützt werden kann, wie es das Berufungsgericht angenommen hat, ist fraglich. Der BGH hat in der Vergangenheit bereits angenommen, dass bei dem Begehren der Auslistung aus Suchmaschinenergebnissen das in Art. 17 Abs. 1 DSGVO niedergelegte „Recht auf Löschung“ nicht auf das schlichte Löschen von Daten beschränkt ist, sondern auch das Begehren umfasst, eine erneute Listung zu unterlassen.
Seitens des EuGH ist jedoch noch nicht geklärt, ob Art. 17 DSGVO auch als Anspruchsgrundlage in Betracht kommt, wenn die von einer rechtswidrigen Verarbeitung ihrer personenbezogenen Daten betroffene Person nicht die Löschung dieser Daten begehrt, sondern wie im Streitfall – neben der Forderung nach Ausgleich des entstandenen immateriellen Schadens – allein präventiv einen erneut drohenden gleichartigen Verstoß gegen die DSGVO verhindern möchte.
Auch wenn sich aus dem Wortlaut des Art. 17 DSGVO zwar kein entsprechendes Recht auf Unterlassung ergebe, könnte nach Ansicht des Senats für ein solches sprechen, dass der Verantwortliche das Unterlassungsbegehren dadurch erfüllen kann, dass er die unrechtmäßig verarbeiteten Daten löscht und damit ein erneuter Verstoß gegen die DSGVO ausgeschlossen ist. Wird die Löschung abgelehnt, stehen der betroffenen Person die Rechte aus Art. 18 DSGVO zu. Sodann stellt sich die Frage, ob das Recht der betroffenen Person auf Einschränkung der Verarbeitung nach Art. 18, Art. 4 Nr. 3 DSGVO auch einen Anspruch auf Unterlassung umfasst. Ob es darüber hinaus einen weiteren unionsrechtlichen Unterlassungsanspruch gibt, ist in Rechtsprechung und Literatur umstritten und soll mit der Vorlage an den EuGH von diesem entschieden werden.
- Falls Fragen 1a) und/oder 1b) bejaht werden:
- Besteht der unionsrechtliche Unterlassungsanspruch nur dann, wenn künftig weitere Beeinträchtigungen der sich aus der DSGVO ergebenden Rechte der betroffenen Personen zu besorgen sind (Wiederholungsgefahr)?
- Wird das Bestehen der Wiederholungsgefahr gegebenenfalls aufgrund des bereits vorliegenden Verstoßes gegen die DSGVO vermutet?
Der auf bereits erfolgte Rechtsverletzung gestützte, in die Zukunft gerichtete, Unterlassungsanspruch setzt nach nationalem Recht eine Wiederholungsgefahr voraus, die durch den erfolgten Verstoß vermutet wird, die vom Anspruchsgegner jedoch entkräftet werden kann. Nach Ansicht des Senats müsste dies für den Unterlassungsanspruch auch dann gelten, wenn er sich aus der DSGVO ergibt. Geklärt ist dies durch den EuGH aber noch nicht.
- Falls Fragen 1a) und 1b) verneint werden:
Sind Art. 84 i.V.m. Art. 79 DSGVO dahingehend auszulegen, dass sie es dem nationalen Richter erlauben, der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, neben dem Ersatz des materiellen oder immateriellen Schadens nach Art. 82 DSGVO und den sich aus Art. 17 und Art. 18 DSGVO ergebenden Ansprüchen einen Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten nach den Bestimmungen des nationalen Rechts zuzusprechen?
Wenn sich aus der DSGVO kein unionsrechtlicher Unterlassungsanspruch ergibt, ist zu klären, ob über Art. 84 i.V.m. Art. 79 DSGVO auf das nationale Recht zurückgegriffen werden kann. Dem könnte das Ziel eines gleichmäßigen Datenschutzniveaus innerhalb der EU entgegenstehen.
Nach nationalem Recht kommt nach Ansicht des Senats ein Anspruch auf Unterlassung in entsprechender Anwendung des § 1004 Abs. 1 S. 2 i.V.m. § 823 BGB in Betracht.
- Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?
Der EuGH hat in seiner viel beachteten Entscheidung vom 04. Mai 2023 in der Rechtssache C-300/21 ausgeführt, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, sondern darüber hinaus der Eintritt eines Schadens erforderlich ist. Außerdem hat der EuGH in der Entscheidung eine nationale Erheblichkeitsschwelle abgelehnt. Als Befreiung von der Darlegungslast bezüglich eines Schadens ist die Ablehnung einer Erheblichkeitsschwelle jedoch nicht zu verstehen.
Daher ist durch den EuGH zu klären, ob die vom Betroffenen geltend gemachten Folgen (die Befürchtung der Weitergabe der Daten an in der gleichen Branche tätige Dritte, Kenntnis einer Person über Umstände, die der Diskretion unterliegen, Schmach wegen des Unterliegens in Gehaltsverhandlungen und der Kenntnis Dritter davon) bereits einen immateriellen Schaden im Sinne der Norm darstellen.
- Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt?
Der EuGH hat in der Entscheidung vom 04. Mai 2023 in der Rechtssache C-300/21 ausgeführt, dass die DSGVO keine Bestimmung über die Bemessung des Schadensersatzes enthält.
Daher ist die Festlegung der Kriterien für die Ermittlung des Umfangs des Schadenersatzes Aufgabe des Rechts des einzelnen Mitgliedsstaats. Dabei müssen der Äquivalenz- und der Effektivitätsgrundsatz beachtet werden.
Bezüglich des Effektivitätsgrundsatzes hat der EuGH entschieden, dass es Aufgabe der nationalen Gerichte ist, festzustellen, ob die nationalen Regelungen für die Festsetzung des Schadenersatzanspruchs aus Art. 82 DSGVO, die Ausübung der aus der DSGVO verliehenen Rechte nicht praktisch unmöglich macht oder übermäßig erschwert.
Damit ist nach Ansicht des Senats nicht hinreichend geklärt, ob bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DSGVO zu ersetzenden immateriellen Schadenersatzes der Grad des dem Verstoß gegen die DSGVO zugrundeliegenden Verschuldens als relevantes Kriterium herangezogen werden darf.
Nach deutschem Recht erfüllt das Schmerzensgeld eine doppelte Funktion. Zum einen soll es dem Geschädigten einen angemessenen Ausgleich für diejenigen Schäden bieten, die nicht vermögensrechtlicher Art sind (Ausgleichsfunktion), zum anderen eine Genugtuung für das sein, was der Schädiger dem Geschädigten angetan hat (Genugtuungsfunktion).
Zwar steht regelmäßig die Ausgleichsfunktion im Vordergrund, die Genugtuungsfunktion spielt bei den immateriellen Schäden ebenfalls eine wesentliche Rolle. Erforderlich ist eine Gesamtschau der Umstände des Einzelfalles, wobei es auch auf den Grad des Verschuldens des Schädigers ankommt.
Der Senat ist der Ansicht, dass es nach diesen Grundsätzen auf eine Berücksichtigung des Verschuldens bei der Bemessung der Höhe des Schadenersatzanspruchs gemäß Art. 82 Abs. 1 DSGVO ankomme, sofern bei der Berücksichtigung des Effektivitätsgrundsatzes dem Schadenersatz eine Genugtuungsfunktion zukomme.
- Falls Fragen 1a), 1b) oder 3 bejaht werden:
Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadenersatz ein Unterlassungsanspruch zusteht?
Außerdem stellt sich die Frage, ob bei der Höhe des immateriellen Schadenersatzanspruchs berücksichtigt werden muss, ob dem Kläger ein Unterlassungsanspruch zugesprochen wurde. Diese Frage lässt sich anhand der bisherigen Rechtsprechung des EuGH nicht beantworten und bedarf daher der Klärung.
