Rechtsprechung
   OLG Karlsruhe, 07.11.2023 - 19 U 23/23   

Zitiervorschläge
https://dejure.org/2023,35078
OLG Karlsruhe, 07.11.2023 - 19 U 23/23 (https://dejure.org/2023,35078)
OLG Karlsruhe, Entscheidung vom 07.11.2023 - 19 U 23/23 (https://dejure.org/2023,35078)
OLG Karlsruhe, Entscheidung vom 07. November 2023 - 19 U 23/23 (https://dejure.org/2023,35078)
Tipp: Um den Kurzlink (hier: https://dejure.org/2023,35078) schnell in die Zwischenablage zu kopieren, können Sie die Tastenkombination Alt + R verwenden - auch ohne diesen Bereich zu öffnen.

Volltextveröffentlichungen (5)

Kurzfassungen/Presse

  • beckmannundnorda.de (Kurzinformation)

    Für immateriellen Schadensersatz aus Art. 82 DSGVO bei einem Datenleck muss ein konkreter kausaler Schaden als Folge der Rechtsverletzung nachgewiesen werden

Hinweis zu den Links:
Zu grauen Einträgen liegen derzeit keine weiteren Informationen vor. Sie können diese Links aber nutzen, um die Einträge beispielsweise in Ihre Merkliste aufzunehmen.

Verfahrensgang

 
Sortierung


Kontextvorschau



Hinweis: Klicken Sie auf das Sprechblasensymbol, um eine Kontextvorschau im Fließtext zu sehen. Um alle zu sehen, genügt ein Doppelklick.

Wird zitiert von ... (0)Neu Zitiert selbst (25)

  • Generalanwalt beim EuGH, 27.04.2023 - C-340/21

    Natsionalna agentsia za prihodite - Vorlage zur Vorabentscheidung - Schutz

    Auszug aus OLG Karlsruhe, 07.11.2023 - 19 U 23/23
    Mehr als die "unbefugte Offenlegung" von oder der "unbefugte Zugang" zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DS-GVO erfordert das Vorliegen eines "Verstoßes gegen diese Verordnung" nicht (vgl. Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 58 ff.).

    Die Tatsache, dass der Missbrauch personenbezogener Daten nur möglich und nicht bereits eingetreten ist, reicht aus, um davon auszugehen, dass die betroffene Person einen durch den Verstoß gegen die Verordnung verursachten immateriellen Schaden erlitten haben kann, sofern die betroffene Person nachweist, dass die Befürchtung eines solchen Missbrauchs ihr tatsächlich und konkret einen realen und sicheren emotionalen Schaden zugefügt hat (Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 82).

    bb) Der Senat folgt der Auffassung des Generalanwalts Pitruzzella in seinen Schlussanträgen vom 27. April 2023 (C-340/21), wonach die betroffene Person nachweisen muss, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung und dem ihr entstandenen Schaden besteht (a.a.O. Rn. 50, vgl. auch Schlussanträge des Generalanwalts Collins vom 26. Oktober 2023 - C-182/22, Rn. 24, 32).

    Eine wörtliche Auslegung dieser Bestimmung läuft darauf hinaus, dass jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen ausreicht, um die Anwendung der Befreiung auszuschließen (vgl. Schlussanträge des Generalanwalts Collins vom 26. Oktober 2023 - C-182/22 Rn. 25; zum Verschuldenserfordernis siehe auch die Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 62 f.).

    Dabei kann die verantwortliche Person von ihrer Haftung nicht allein deshalb befreit werden, weil der Umstand, auf den der Verstoß zurückzuführen ist, von einer Person außerhalb ihres Kontrollbereichs herbeigeführt wurde (Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 65).

    Ebensowenig, wie es einem Verantwortlichen möglich ist, jede Verletzung personenbezogener Daten durch Cyberkriminelle zu verhindern, deren ausgeklügelte Instrumente selbst modernste Sicherheitsmaßnahmen aushebeln können (vgl. Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 33), ist es einem Arbeitgeber möglich, vollkommen auszuschließen, dass sich ein Mitarbeiter mit rechtswidrigen Absichten in sein Unternehmen einschleust oder ein Mitarbeiter im Laufe seiner Tätigkeit rechtswidrige Absichten entwickelt.

    Dabei ist auch zu berücksichtigen, dass allgemein bekannt ist, dass externe Angriffe auf die Systeme öffentlicher oder privater Einrichtungen, die über eine große Menge personenbezogener Daten verfügen, weitaus häufiger sind als interne Angriffe, und deshalb der Verantwortliche gehalten ist, sich insbesondere gegen Angriffe von außen zu wappnen (vgl. Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 67).

    Die Abwägung zwischen den Interessen der betroffenen Person, die generell ein höheres Schutzniveau anstreben, und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen, die zuweilen ein niedrigeres Schutzniveau anstreben (vgl. Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 36), geht hinsichtlich dieser Frage daher zugunsten der Interessen des Verantwortlichen aus.

  • EuGH, 04.05.2023 - C-300/21

    Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch

    Auszug aus OLG Karlsruhe, 07.11.2023 - 19 U 23/23
    Dieser Grundsatz ist schon unter dem Gesichtspunkt von Äquivalenz und Effektivität (vgl. dazu nur EuGH, Urteil vom 4. Mai 2023 - C-300/21 Rn. 53 f.) auf den vorliegenden Fall einer geltend gemachten Verletzung der Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh (zur Maßgeblichkeit der Charta der Grundrechte der Europäischen Union im Bereich des unionsweit abschließend vereinheitlichten Datenschutzrechts vgl. BVerfGE 152, 152 Rn. 42 ff. - Recht auf Vergessen II) zu erstrecken (so auch OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 209).

    Voraussetzung für das Bestehen eines derartigen Schadensersatzanspruchs gem. Art. 82 Abs. 1 DS-GVO ist, dass ein Verstoß gegen die Datenschutz-Grundverordnung kausal einen immateriellen Schaden herbeigeführt hat (vgl. EuGH, Urteil vom 4. Mai 2023 - C 300/21 Rn. 32).

    aa) Für einen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen eines immateriellen Schadens reicht das bloße Vorliegen eines Verstoßes gegen die Bestimmungen der Verordnung nicht aus, sondern der betroffenen Person muss tatsächlich ein Schaden entstanden sein (vgl. EuGH, Urteil vom 4. Mai 2023 - C-300/21, Rn. 36, 42).

    Ein bestimmter Grad an Erheblichkeit muss dabei nicht erreicht werden, doch muss die betroffene Person nachweisen, dass sie negative Folgen erlitten hat und dass diese Folgen einen immateriellen Schaden im Sinne der Datenschutz-Grundverordnung darstellen (vgl. EuGH, Urteil vom 4. Mai 2023 - C-300/21, Rn. 50).

    Nach dem vierten Satz des 146. Erwägungsgrundes der Datenschutz-Grundverordnung gelten deren Vorschriften unbeschadet von Schadensersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten (vgl. auch EuGH, Urteil vom 04.05.2023 - C-300/21 Rn. 41).

    Die Auslegung von Art. 82 DSGVO hinsichtlich des Merkmals "immaterieller Schaden" ihrerseits ist durch die Entscheidung des Gerichtshofs vom 4. Mai 2023 (C-300/21), die der Senat seiner Entscheidung zugrunde gelegt hat, hinreichend geklärt (acte éclairée).

  • Generalanwalt beim EuGH, 26.10.2023 - C-182/22

    Scalable Capital - Vorlage zur Vorabentscheidung - Schutz natürlicher Personen

    Auszug aus OLG Karlsruhe, 07.11.2023 - 19 U 23/23
    Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus (Schlussanträge des Generalanwalts Collins vom 26. Oktober 2023 - C-182/22, Rn. 24).

    Insbesondere stellt der Besitz von Daten, die die betroffene Person identifizierbar machen, für sich genommen keinen Identitätsdiebstahl dar (Schlussanträge des Generalanwalts Collins vom 26. Oktober 2023 - C-182/22, Rn. 30, 32), der in den Erwägungsgründen 75 und 85 beispielhaft als mögliche Erscheinungsform eines physischen, materiellen oder immateriellen Schadens angeführt ist.

    bb) Der Senat folgt der Auffassung des Generalanwalts Pitruzzella in seinen Schlussanträgen vom 27. April 2023 (C-340/21), wonach die betroffene Person nachweisen muss, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung und dem ihr entstandenen Schaden besteht (a.a.O. Rn. 50, vgl. auch Schlussanträge des Generalanwalts Collins vom 26. Oktober 2023 - C-182/22, Rn. 24, 32).

    Eine wörtliche Auslegung dieser Bestimmung läuft darauf hinaus, dass jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen ausreicht, um die Anwendung der Befreiung auszuschließen (vgl. Schlussanträge des Generalanwalts Collins vom 26. Oktober 2023 - C-182/22 Rn. 25; zum Verschuldenserfordernis siehe auch die Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 62 f.).

     
  • BVerfG, 06.11.2019 - 1 BvR 16/13

    Recht auf Vergessen I - Auch bei gleichzeitiger Geltung der Unionsgrundrechte

    Auszug aus OLG Karlsruhe, 07.11.2023 - 19 U 23/23
    Dieser Grundsatz ist schon unter dem Gesichtspunkt von Äquivalenz und Effektivität (vgl. dazu nur EuGH, Urteil vom 4. Mai 2023 - C-300/21 Rn. 53 f.) auf den vorliegenden Fall einer geltend gemachten Verletzung der Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh (zur Maßgeblichkeit der Charta der Grundrechte der Europäischen Union im Bereich des unionsweit abschließend vereinheitlichten Datenschutzrechts vgl. BVerfGE 152, 152 Rn. 42 ff. - Recht auf Vergessen II) zu erstrecken (so auch OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 209).

    c) Auch ein Anspruch des Klägers auf Geldentschädigung wegen der Verletzung seines allgemeinen Persönlichkeitsrechts gem. § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG - soweit man hier zugunsten des Klägers dessen allgemeines Persönlichkeitsrecht und nicht seine Grundrechte gem. Art. 7, Art. 8 GRCh (zur Maßgeblichkeit der Charta der Grundrechte der Europäischen Union im Bereich des unionsweit abschließend vereinheitlichten Datenschutzrechts vgl. BVerfGE 152, 152 Rn. 42 ff. - Recht auf Vergessen II) als betroffen unterstellt - besteht nicht.

  • OLG Hamm, 15.08.2023 - 7 U 19/23

    Facebook-Scraping

    Auszug aus OLG Karlsruhe, 07.11.2023 - 19 U 23/23
    Dieser Grundsatz ist schon unter dem Gesichtspunkt von Äquivalenz und Effektivität (vgl. dazu nur EuGH, Urteil vom 4. Mai 2023 - C-300/21 Rn. 53 f.) auf den vorliegenden Fall einer geltend gemachten Verletzung der Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh (zur Maßgeblichkeit der Charta der Grundrechte der Europäischen Union im Bereich des unionsweit abschließend vereinheitlichten Datenschutzrechts vgl. BVerfGE 152, 152 Rn. 42 ff. - Recht auf Vergessen II) zu erstrecken (so auch OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 209).

    § 287 ZPO ist insoweit anzuwenden, weil sich der geltend gemachte immaterielle Schaden als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte des Klägers auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh darstellt (i.E. ebenso LG Ellwangen, Urteil vom 25.01.2023 - 2 O 198/22 GRUR-RS 2023, 1146 Rn. 85; LG Memmingen, Endurteil vom 09.03.2023 - 35 O 1036/22 GRUR-RS 2023, 3856 Rn. 81; LG Dortmund, Urteil vom 22.05.2023 - 24 O 20/23 GRUR-RS 2023, 14600 Rn. 68; LG Essen, Urteil vom 10.11.2022 - 6 O 111/22 GRUR-RS 2022, 34818 Rn. 72; LG Krefeld, Urteil vom 22.02.2023 - 7 O 113/22 GRUR-RS 2023, 2539 Rn. 37; LG Memmingen, Endurteil vom 16.02.2023 - 24 O 913/22 GRUR-RS 2023, 4562 Rn. 84; a.A. [nicht tragend] unter Annahme der Geltendmachung eines Primärschadens OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 178 ff.).

  • LG Bonn, 11.11.2020 - 29 OWi 1/20

    Bußgeld gegen 1&1 wegen Datenschutzverstoßes: Von 9,55 Mio EURO auf 900.000 EURO

    Auszug aus OLG Karlsruhe, 07.11.2023 - 19 U 23/23
    Auch der laufende Betrieb des Online-Shops wurde auf Schwachstellen kontrolliert, so dass offenbleiben kann, ob dies angesichts der geringen Sensitivität der gespeicherten Kundendaten - bei Name, E-Mail-Adresse, Telefon-Nummer und Postadresse handelt es sich lediglich um allgemeine Kontaktdaten (vgl. hierzu LG Bonn, Urteil vom 11. November 2020 - 29 OWi 1/20, juris Rn. 70), die insbesondere nicht zu den gem. Art. 9, Art. 10 DS-GVO besonders geschützten Kategorien personenbezogener Daten gehören - überhaupt von der Beklagten zu fordern war.
  • BAG, 05.05.2022 - 2 AZR 363/21

    Höhe eines Anspruchs auf immateriellen Schadenersatz - Verstoß gegen die DSGVO

    Auszug aus OLG Karlsruhe, 07.11.2023 - 19 U 23/23
    Nach der ständigen Rechtsprechung des Gerichtshofs ist es mangels einschlägiger unionsrechtlicher Vorschriften nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die Verfahrensmodalitäten für Klagen, die den Schutz der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen, zu regeln, wobei die betreffenden Anforderungen jedoch nicht ungünstiger sein dürfen als diejenigen, die gleichartige, dem innerstaatlichen Recht unterliegende Sachverhalte regeln (Äquivalenzgrundsatz), und die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren dürfen (Effektivitätsgrundsatz) (EuGH C-278/22 BeckRS 2022, 6955 Rn. 47 EuGH C-791/20 NJW 2021, 531 Rn. 223; BAG, Urteil vom 5. Mai 2022 - 2 AZR 363/21 Rn. 13).
  • LG Karlsruhe, 02.08.2019 - 8 O 26/19

    Bonitätsauskunft von Schufa & Co ist nicht unmittelbar angreifbar

    Auszug aus OLG Karlsruhe, 07.11.2023 - 19 U 23/23
    (1) Überwiegend wird unter Anwendung des jeweiligen nationalen Beweisrechts die Person, die den Schadensersatzanspruch geltend macht, hinsichtlich der Kausalität des "Verstoßes gegen diese Verordnung" im Sinne von Art. 82 Abs. 1 DS-GVO für den geltend gemachten Schaden als darlegungs- und beweisbelastet angesehen (ÖOGH, ZD 2020, 302 Rn. 15; OLG Innsbruck, ZD 2020, 304 Rn. 4; LG Frankfurt a.M. ZD 2021, 653, 654, juris Rn. 32 ff.; LG Frankfurt a.M., Urteil vom 18. September 2020 - 2-27 O 100/20, juris Rn. 48 [insoweit in ZD 2020, 639 nicht abgedruckt]; LG Karlsruhe, ZD 2019, 511, 512, juris Rn. 15; Spindler/Horváth in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl., Art. 82 DS-GVO Rn. 11; Weber, CR 2021, 379, 380; Piltz/Zwerschke, GRUR-Prax 2021, 11, 13).
  • LG Frankfurt/Main, 18.09.2020 - 27 O 100/20

    Nicht notwendigerweise Schadenersatz nach DSGVO bei Datenklau

    Auszug aus OLG Karlsruhe, 07.11.2023 - 19 U 23/23
    (1) Überwiegend wird unter Anwendung des jeweiligen nationalen Beweisrechts die Person, die den Schadensersatzanspruch geltend macht, hinsichtlich der Kausalität des "Verstoßes gegen diese Verordnung" im Sinne von Art. 82 Abs. 1 DS-GVO für den geltend gemachten Schaden als darlegungs- und beweisbelastet angesehen (ÖOGH, ZD 2020, 302 Rn. 15; OLG Innsbruck, ZD 2020, 304 Rn. 4; LG Frankfurt a.M. ZD 2021, 653, 654, juris Rn. 32 ff.; LG Frankfurt a.M., Urteil vom 18. September 2020 - 2-27 O 100/20, juris Rn. 48 [insoweit in ZD 2020, 639 nicht abgedruckt]; LG Karlsruhe, ZD 2019, 511, 512, juris Rn. 15; Spindler/Horváth in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl., Art. 82 DS-GVO Rn. 11; Weber, CR 2021, 379, 380; Piltz/Zwerschke, GRUR-Prax 2021, 11, 13).
  • BGH, 24.03.2016 - I ZR 185/14

    grit-lehmann.de - Namensschutz im Internet: Registrierung eines aus einem

    Auszug aus OLG Karlsruhe, 07.11.2023 - 19 U 23/23
    Die Unrichtigkeit des Tatbestands kann grundsätzlich nur im Berichtigungsverfahren nach § 320 ZPO geltend gemacht werden (BGH, Urteil vom 24. März 2016 - I ZR 185/14, juris Rn. 20 m.w.N.).
  • BGH, 22.02.2022 - VI ZR 1175/20

    Persönlichkeitsrechtsverletzung in der Presseberichterstattung: Voraussetzungen

  • AG Frankfurt/Main, 10.07.2020 - 385 C 155/19

    Schadenersatz nach DSGVO verlangt ernsthafte Beeinträchtigung

  • EuGH, 05.09.2019 - C-447/17

    Europäische Union/ Guardian Europe - Rechtsmittel - Schadensersatzklage - Art.

  • EuGH, 07.04.2022 - C-385/20

    Caixabank

  • EuGH, 28.10.2021 - C-650/19

    Vialto Consulting/ Kommission - Rechtsmittel - Schadensersatzklage -

  • EuG, 13.01.2021 - T-548/18

    Helbert/ EUIPO

  • BGH, 05.10.2021 - VI ZR 136/20

    A) Zum Feststellungsinteresse bei einer Klage auf Feststellung der

  • BGH, 29.06.2021 - VI ZR 52/18

    A) Dient der Betrieb eines einer bestimmten Person 'gewidmeten',

  • LG Essen, 10.11.2022 - 6 O 111/22

    Schadensersatz wegen DS-GVO-Verstoß bei Nutzung einer Social Media Plattform

  • EuGH, 25.03.2021 - C-501/18

    Balgarska Narodna Banka

  • LG Memmingen, 09.03.2023 - 35 O 1036/22

    Keine Ansprüche eines Nutzers gegen Facebook nach Scraping-Vorfall

  • LG Ellwangen/Jagst, 25.01.2023 - 2 O 198/22

    Kein Anspruch auf Schadensersatz aus Art. 82 DSGVO wegen sog. Scrapings

  • LG Memmingen, 16.02.2023 - 24 O 913/22

    Erfolglose Schadensersatzklage wegen öffentlich zugänglicher Nutzerdaten

  • LG Dortmund, 22.05.2023 - 24 O 20/23
  • LG Krefeld, 22.02.2023 - 7 O 113/22
Haben Sie eine Ergänzung? Oder haben Sie einen Fehler gefunden? Schreiben Sie uns.
Sie können auswählen (Maus oder Pfeiltasten):
(Liste aufgrund Ihrer bisherigen Eingabe)
Komplette Übersicht