Schadenersatz bei verspäteter DSGVO-Auskunft

Nicht nur große Konzerne sind verpflichtet und gut beraten, interne Prozesse hinsichtlich der Betroffenenrechte zu etablieren. Dem Betroffenen einer Datenverarbeitung stehen umfangreiche Rechte nach den Artikeln 15 – 21 DSGVO zu. Hierbei ist besonderes das Auskunftsrecht nach Art. 15 DSGVO zu beachten.

Art. 15 DSGVO gewährt dem Betroffenen ein Zwei-Stufiges Auskunftsrecht. In der ersten Stufe hat er einen Anspruch aus Auskunft, ob das Unternehmen überhaupt personenbezogene Daten des Betroffenen verarbeitet. In der zweiten Stufe muss das Unternehmen im Fall dessen, dass Daten verarbeitet werden, umfassend Auskunft erteilen. Dem Betroffenen sind dann folgende Informationen zur Verfügung zu stellen:

  1. die Verarbeitungszwecke;
  2. die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Nach Art. 12 Abs. 3 DSGVO hat der Verantwortliche dem Betroffenen diese Auskunft innerhalb eines Monats zu erteilen.

Das OLG Köln hatte mit Urteil vom 14.7.2022 – 15 U 137/21 einen Rechtsanwalt zur Zahlung eines Schadenersatzes vom 500,- EUR aufgrund einer erst nach 9 Monaten erteilten Auskunft verurteilt. Das OLG Köln führt hierzu in seiner Begründung aus:

Nach Art. 15 Abs. 1, Abs. 3, Art. 12 Abs. 3 S. 1 DSGVO hat der Verantwortliche innerhalb eines Monats nach Eingang des Antrags auf Datenauskunft (hier: Schreiben der Klägerin vom 7.1.2020) die entsprechenden Auskünfte zu erteilen. Der Beklagte hat die Auskünfte erst im Laufe des Verfahrens im Oktober 2020 erteilt und auch die Handakten erst zu diesem Zeitpunkt herausgegeben. Der Senat folgt insofern nicht der Auffassung des Landgerichts, dass Art. 82 DSGVO nur solche Schäden erfasst, die „durch eine nicht dieser Verordnung entsprechende Verarbeitung“ entstanden sind und dass damit Verstöße gegen Auskunftspflichten aus Art. 12 Abs. 3 bzw. Art. 15 DSGVO nicht als Grundlage für einen Ersatzanspruch dienen können (vgl. auch LAG Hamm, Urt. v. 11.5.2021 – 6 Sa 1260/20, juris; ebenso wohl OLG Stuttgart, Urt. v. 31.3.2021 – 9 U 34/21, juris Rn. 29; vgl. auch Weber, CR 2021, 379 m.w.N.). In Art. 82 Abs. 1 DSGVO ist von einem „Verstoß gegen diese Verordnung“ die Rede und gerade nicht von einer verordnungswidrigen Datenverarbeitung. Die Auffassung des Landgerichts, dass diese in Art. 82 Abs. 1 DSGVO enthaltene Regelung dann durch Art. 82 Abs. 2 DSGVO konkretisiert – sprich: eingeschränkt – werden sollte, ist weder dem Gesamtkontext noch dem Sinn und Zweck oder aber der Entstehungsgeschichte der Norm mit hinreichender Sicherheit zu entnehmen. Zwar spricht auch Erwägungsgrund 146 davon, dass Schäden ersetzt werden sollen, die „einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Allerdings ist der Begriff der Verarbeitung in Art. 4 Nr. 2 DSGVO weit gefasst und umfasst beispielsweise auch die „Offenlegung durch Übermittlung“, worunter letztlich auch die hier streitgegenständliche Auskunft zu fassen ist. Daneben ergibt sich aus Erwägungsgrund 60, dass die Grundsätze einer fairen und transparenten Verarbeitung es erforderlich machen, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Dafür wird ihr (vgl. insoweit Erwägungsgrund 63 und 75) ein entsprechendes Auskunftsrecht („problemlos und in angemessenen Abständen“) zugebilligt, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Wenn aber in dieser Hinsicht der Schutz des Betroffenen gerade durch Auskunfts- und Informationsrechte gestärkt und damit für Fairness und Transparenz beim Verarbeitungsvorgang gesorgt werden soll, spricht dies entscheidend dafür, die Ersatzpflicht nach Art. 82 Abs. 1 DSGVO auf jeden Verstoß gegen Regelungen der Verordnung anzuwenden.

Durch dieses Verhalten des Beklagten ist der Klägerin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO entstanden. Dabei kommt es vorliegend nicht auf die umstrittene Frage an, ob allein die Verletzung einer Vorschrift der DSGVO für einen Anspruch aus Art. 82 Abs. 1 DSGVO ausreicht oder ob es darüber hinaus der Darlegung und des Nachweises eines konkreten Schadens bedarf (vgl. OLG Frankfurt, Urt. v. 2.3.2022 – 13 U 206/20, juris m.w.N.). Denn vorliegend hat die Klägerin umfassend und vom Beklagten unwidersprochen dazu vorgetragen, welche (immateriellen) Folgen die verweigerte Datenauskunft des Beklagten für sie hatte. Diese von der Klägerin vorgetragenen Umstände reichen auch aus, um einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO zu begründen. Die Klägerin beruft sich vorliegend in erster Linie darauf, dass sie durch die verzögerte Datenauskunft des Beklagten psychisch belastet wurde; sie habe Stress und Sorge im Hinblick auf die Regulierung ihrer Ansprüche aus dem Verkehrsunfallgeschehen empfunden. Vor dem Hintergrund dessen, dass der Begriff des Schadens nach Erwägungsgrund 146 weit ausgelegt werden muss und in Erwägungsgrund 75 beispielhaft Handlungen aufgezählt werden, die zum Schadensersatz führen können („…wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren…“), kann ein immaterieller Schaden der Klägerin im Sinne eines solchen „Kontrollverlustes“ über ihre Daten (vgl. dazu Korch, NJW 2021, 978; Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 82 Rn. 18b m.w.N.; kritisch LG München I v. 2.9.2021 – 23 O 10931/20, GRUR-RS 2021, 33318) sowie ein drohender Einfluss auf ihre wirtschaftliche Position, insbesondere ein Zeitverlust im Zusammenhang mit der Abwicklung des Verkehrsunfallschadens mit dem gegnerischen Haftpflichtversicherer, nicht in Abrede gestellt werden.

Jetzt mögen 500,- EUR nicht sonderlich viel erscheinen, jedoch kann dies auch ganz anders ausgehen, so dass jedem Unternehmen, sei es noch so klein, angeraten werden muss, interne Prozesse zu schaffen um die Erfüllung von datenschutzrechtlichen Vorgaben einhalten zu können.

Stefan Lutz, LL.M.

Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TTDSG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.

Telefon: 0751 / 27 088 530

 lutz@datenschutz-rv.de  https://www.datenschutz-rv.de