Unberechtigte Datenweitergabe und
Ausgleichsfunktion des Art. 82 DSGVO
BGH, Urteil vom 28.01.2025 - VI
ZR 183/22 -
Kurze Inhaltsangabe (mit Anmerkung)
Die Parteien hatten einen Telekommunikationsvertrag geschlossen. Mehrere in Rechnung gestellte Beträge soll die Beklaget nicht gezahlt haben, weshalb die Klägerin einen Eintrag bei der SCHUFA
bewirkte. Die Klägerin klagte auf Zahlung und due Beklaget erhob Widerklage auf immateriellen Schadensersatz in Höhe von € 6.000,00 nach Art. 82 DSGVO und Information der SCHUFA darüber, dass die
Voraussetzungen für die Meldung personenbezogener Daten und eines Zahlungsverzugs der Beklagten nicht vorgelegen hätten und sämtliche von der Klägerin mitgeteilten Daten zu löschen seien. Der
Klage wurde vom Landgericht stattgegeben, die Widerklage abgewiesen. Auf die Berufung der Beklagten änderte das Oberlandesgericht (OLG) das Urteil ab, wies die Klage zurück und gab der Widerklage
mit einem auf die Widerklage zu zahlenden Betrag von € 500,00, mit Anrechnung auf einen von der Beklagten an die Klägerin zu zahlenden, von ihr anerkannten Betrag von € 54,74 statt. Die Beklagte
verfolgte das Klageziel der Zahlung von insgesamt € 6.000,00 mit der zugelassenen Revision weiter.
Der BGH wies die Revision zurück. Er folgte nicht der Ansicht der Beklagten, das OLG habe bei der Bemessung des Schadensersatzes einer abschreckenden Wirkung größeres Gewicht einräumen müssen; Es
hätte vielmehr diese überhaupt nicht berücksichtigen dürfen, sondern ausschließlich eine Ausgleichsfunktion des Schadensersatzes berücksichtigen dürfen.
Der Terminus des „immateriellen Schadens“ in Art. 82 Abs. 1 DSGVO ist mangels eines Verweises in der Norm auf das innerstaatliche Recht der Mitgliedsstaaten autonom unionsrechtlich zu definieren
/EuGH, Urteil vom 20.06.2024 - C-590/22 -). Nach den ErwG 146 S. 2 DSGVO solle der Begriff des Schadens weit ausgelegt werden, und zwar in einer den Zielen der Verordnung in vollem Umfang
entsprechenden Art und Weise (BGH, Urteil vom 18.11.2024 – VI ZR 10/24 -). Der EuGH würde in dem Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO ausschließlich eine Ausgleichfunktion sehen (EuGH
aaO.).
Da dem Schadensersatzanspruch gem. Art. 82 DSGVO eine Ausgleichsfunktion zukäme, sei eine auf Art. 82 DSGVO gestützte Entschädigung in Geld als „vollständig und wirksam“ anzusehen, wenn sie es
ermögliche, den aufgrund des Verstoßes gegen die Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen (EuGH aaO.).
Das OLG habe auf die Weitergabe von personenbezogenen Daten der Beklagten an die SCHUFA , die bei dortigen Abfragen zu einer einsehbaren Eintragung zu Lasten der Beklagten führen können,
abgestellt, zum anderen beachtet, dass der Eintrag bei der SCHUFA die Kreditfähigkeit der Beklagten beeinträchtige und sich dies auch bereits zum Nachteil der Beklagten ausgewirkt habe
(zeitweises Anhalten einer Kreditvergabe an die Beklagte durch deren Hausbank). Auch die Dauer der Eintragung sei berücksichtigt worden. Es sei von der Revision nicht geltend gemacht noch
ersichtlich, dass die zugesprochenen € 500,00 nicht ausreichend seien.
Anmerkung:Die Rechtsprechung zu Ersatzansprüchen bei unzulässiger Datenweitergabe handelt hier nach dem Motto „klein, kleiner am
kleinsten“. Ob dies dem Umstand der Vielzahl von entsprechenden Verstößen geschuldet ist, die sich bei höheren Beträgen im Einzelfall durch meist fahrlässige und grob fahrlässige Verstöße bei
Unternehmen (aber auch der öffentlichen Hand) schnell zu größeren Beträgen addieren können, kann nur spekuliert werden. Ein Ausgleich mit € 500,00 bei (durch SCHUFA-Eintragung nicht prüfbarer)
öffentlicher Diskreditierung, welche auch schon Auswirkungen zeigte, ist zu niedrig.
Aus den Gründen:
Tenor
Die Revision der Beklagten gegen das Urteil des 5. Zivilsenats des Oberlandesgerichts Koblenz vom 18. Mai 2022 wird auf ihre Kosten zurückgewiesen.
Von Rechts wegen
Tatbestand
Die Parteien streiten im Revisionsverfahren noch um die Höhe des immateriellen Schadensersatzes wegen Verletzung der Datenschutz-Grundverordnung (DSGVO).
Die Beklagte schloss mit der Klägerin, einem Telekommunikationsunternehmen, am 25. September 2018 einen Mobilfunkvertrag. Der Vertrag räumte der Beklagten die Möglichkeit ein, im Fall einer
frühzeitigen Vertragsverlängerung um 24 Monate zu einem günstigeren Tarif zu wechseln. Die Beklagte nahm diese Möglichkeit am 27. Dezember 2018 in Anspruch. In der Auftragsbestätigung der
Klägerin vom 27. Dezember 2018 heißt es: "Ihr bisheriger Tarif … mit allen Inklusivleistungen entfällt zum 27.12.2008". Die Beklagte widerrief mit Schreiben vom 6. Januar 2019 den "Vertrag
vom 27.12.2018". Die Klägerin stellte der Beklagten mehrfach Beträge in Rechnung, die die Beklagte nicht beglich. Sie berief sich darauf, den Vertrag widerrufen zu haben und nicht zur Leistung
verpflichtet zu sein. Am 16. September 2019 veranlasste die Klägerin einen Eintrag bei der SCHUFA zulasten der Beklagten; am 27. September 2019 gab sie die Löschung des Eintrags in Auftrag.
Der Eintrag wurde frühestens im Juli 2021 vollständig gelöscht.
Mit ihrer Klage hat die Klägerin beantragt, die Beklagte zur Zahlung von 542 € nebst Zinsen und Nebenkosten zu verurteilen. Die Beklagte ist der Klage entgegengetreten und hat im Wege der
Widerklage beantragt, die Klägerin zu verurteilen, immateriellen Schadensersatz nach Art. 82 DSGVO in Höhe eines Teilbetrags von 6.000 € nebst Zinsen zu zahlen und die SCHUFA darüber zu
informieren, dass die Voraussetzungen für die Meldung personenbezogener Daten und eines Zahlungsverzugs der Beklagten nicht vorgelegen hätten und sämtliche von der Klägerin mitgeteilten Daten der
Beklagten zu löschen seien. Das Landgericht hat der Klage in vollem Umfang stattgegeben und die Widerklage abgewiesen.
Auf die Berufung der Beklagten hat das Oberlandesgericht das Urteil des Landgerichts abgeändert. Es hat die Klage abgewiesen und unter Zurückweisung der weitergehenden Berufung die Klägerin im
Hinblick auf die Widerklage verurteilt, an die Beklagte 500 € abzüglich eines von der Beklagten auf die Klageforderung anerkannten Betrags von 54,74 € als immateriellen Schadensersatz
nebst Zinsen zu zahlen. Mit der vom Berufungsgericht zugelassenen Revision verfolgt die Beklagte ihren im Wege der Widerklage geltend gemachten Zahlungsantrag im verbleibenden Umfang weiter.
Entscheidungsgründe
I.
Das Berufungsgericht (OLG Koblenz, MDR 2022, 962) hat zur Begründung seiner Entscheidung, soweit für das Revisionsverfahren relevant, ausgeführt: Der Beklagten stehe ein Anspruch auf Zahlung von
immateriellem Schadensersatz aus Art. 82 Abs. 1 DSGVO in Höhe von 500 € zu. Die Klägerin habe ihre Pflichten aus Art. 5, 6 i.V.m. Art. 4 Nr. 2 DSGVO verletzt, indem sie
personenbezogene Daten der Beklagten an die SCHUFA gemeldet habe, obwohl die Forderungen der Klägerin streitig und noch nicht tituliert gewesen seien, eine Meldung daher nicht hätte erfolgen
dürfen.
Die Beklagte habe einen ihr entstandenen immateriellen Schaden hinreichend dargelegt. Sie habe ausgeführt, die unberechtigt weitergegebenen Daten seien geeignet gewesen, ihre Kreditwürdigkeit
erheblich herabzusetzen und ihre Teilhabe am Wirtschaftsleben zu erschweren. So sei eine Kreditvergabe bei ihrer Hausbank angehalten worden, des Weiteren sei zu befürchten, dass ihr künftig bei
Geschäften im Internet ein Kauf auf Rechnung versagt werde. Die Beklagte sei durch die widerrechtliche Weitergabe ihrer Daten an die SCHUFA und deren Veröffentlichung als zahlungsunfähige oder
jedenfalls zahlungsunwillige Kundin stigmatisiert worden. Diese Rufschädigung sei nach Art. 82 Abs. 1 DSGVO auszugleichen.
Ein Betrag von 500 € sei angemessen und ausreichend, um einerseits der Ausgleichs- und Genugtuungsfunktion des immateriellen Schadensersatzes zu genügen, und andererseits dessen
generalpräventiver Funktion hinreichend Rechnung zu tragen. Zur Bestimmung der Höhe des Anspruchs auf immateriellen Schadensersatz nach Art. 82 DSGVO seien neben der inhaltlichen Schwere des
Verstoßes, seiner Dauer und dem Kontext, in dem der Verstoß erfolgt sei, auch die Ausgleichs-, Genugtuungs- und Vorbeugefunktion des Schadensersatzanspruchs sowie drohende Folgen zu
berücksichtigen. Wesentlich seien am Ende allerdings die konkreten Umstände des Einzelfalls.
II.
Die zulässige Revision der Beklagten hat keinen Erfolg. Zwar sind die Erwägungen, mit denen das Berufungsgericht den immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO mit 500
€ bemessen hat, rechtsfehlerhaft. Entgegen der Ansicht der Revision hätte das Berufungsgericht bei der Bemessung des Schadensersatzes einer abschreckenden Wirkung aber nicht noch größeres Gewicht
einräumen müssen. Es hätte diese vielmehr überhaupt nicht, sondern ausschließlich eine Ausgleichsfunktion des Schadensersatzes berücksichtigen dürfen. Dass sich dieser Rechtsfehler zum Nachteil
der Beklagten ausgewirkt hätte, ist aber nicht ersichtlich.
1. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser
Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 31 - PS GbR; Senatsurteil vom 18. November 2024 - VI
ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung
in vollem Umfang entspricht (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28).
Nach der Rechtsprechung des Gerichtshofes der Europäischen Union kommt dem in Art. 82 Abs. 1 DSGVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zu. Er
erfüllt - entgegen der Ansicht des Berufungsgerichts und der Revision - keine Abschreckungs- oder gar Straffunktion (EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, NJW 2024,
2599 Rn. 23 - Scalable Capital; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 18; jeweils mwN).
In Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadensersatzanspruchs, wie sie in ErwG 146 Satz 6 DSGVO zum Ausdruck kommt, ist eine auf Art. 82 DSGVO
gestützte Entschädigung in Geld als "vollständig und wirksam" anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang
auszugleichen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-182/22 und C-189/22, NJW 2024, 2599 Rn. 24 - Scalable Capital; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB
2024, 3091 Rn. 96 mwN). Da der Anspruch aus Art. 82 Abs. 1 DSGVO weder eine Abschreckungs- noch eine Straffunktion erfüllt, darf weder die Schwere des Verstoßes gegen die
Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob schuldhaft gehandelt wurde (vgl. Senatsurteil vom 18. November 2024
- VI ZR 10/24, DB 2024, 3091 Rn. 96 mwN).
2. Als immateriellen Schaden hat das Berufungsgericht zum einen die Weitergabe von personenbezogenen Daten der Beklagten an die SCHUFA, die im Rahmen etwaiger SCHUFA-Abfragen zu einem für
eine unbekannte Zahl von Dritten einsehbaren Eintrag bei der SCHUFA zu Lasten der Beklagten führte, berücksichtigt (vgl. zum Verlust der Kontrolle über personenbezogene Daten als immateriellem
Schaden EuGH, Urteil vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137 - Agentsia po vpisvaniyata; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024,
3091 Rn. 30 mwN). Zum anderen hat es beachtet, dass der Eintrag bei der SCHUFA die Kreditwürdigkeit der Beklagten beeinträchtigte und sich dies nach den nicht angegriffenen Feststellungen
des Berufungsgerichts bereits zum Nachteil der Beklagten ausgewirkt hatte, da ihre Hausbank eine Kreditvergabe zeitweilig angehalten hatte. Ein etwaiger daraus resultierender materieller Schaden
ist allerdings nicht Gegenstand der Klage.
3. Die Revision hat weder geltend gemacht noch ist ersichtlich, dass der vom Berufungsgericht zuerkannte Betrag von 500 € nicht ausreichend wäre, um den immateriellen Schaden der Beklagten
auszugleichen. Das Berufungsgericht hat bei der Bemessung des Schadensersatzes neben dem Kreis derjenigen, die Zugriff auf die personenbezogenen Daten der Klägerin bei der SCHUFA hatten, auch die
Dauer des Eintrags und dessen Folgen für die Beklagte in den Blick genommen.
Soweit das Berufungsgericht die Höhe des zuerkannten Schadensersatzes rechtsfehlerhaft auch mit einer Genugtuungs- und generalpräventiven Funktion des Schadensersatzes begründet hat, ist nicht
ersichtlich, dass sich dieser Rechtsfehler zum Nachteil der Beklagten ausgewirkt hätte. Denn diese Erwägungen haben allenfalls dazu geführt, dass das Berufungsgericht der Beklagten einen höheren
Schadensersatz zuerkannt hat, als es für angemessen gehalten hätte, hätte es allein die Ausgleichsfunktion des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DSGVO berücksichtigt.