Oberlandesgericht Hamm Urteil, 20. Jan. 2023 - 11 U 88/22

originally published: 14/02/2023 14:15, updated: 14/02/2023 14:22
Oberlandesgericht Hamm Urteil, 20. Jan. 2023 - 11 U 88/22
Urteilsbesprechung zu {{shorttitle}}
Lawyers
Referenzen - Veröffentlichungen
Referenzen - Gesetze
Referenzen - Urteile

Gericht

There are no judges assigned to this case currently.
addJudgesHint

Submitted by

Languages
EN, DE

Author’s summary by Rechtsanwalt Dirk Streifler - Partner

Das Ansicht des Oberlandesgericht Hamm (OLG Hamm) begründet die versehentliche Weiterleitung personenbezogener Daten einen Schadensersatzanspruch gegen die:den Verantwortliche:n.

Die im vorliegenden Fall verantwortliche Impfzentruminhaberin muss 100 Euro immateriellen Schadensersatz wegen Verstoßes gegen die DSGVO, an den Betroffenen zahlen.

Dirk Streifler - Streifler&Kollegen - Rechtsanwälte Berlin

OBERLANDESGERICHT HAMM

(11. Zivilsenat)

 

Urteil vom 20.01.2023

Az.: 11 U 88/22

Vorinstanz: LG Essen (Az.: 1 O 272/21)


 Tenor

Die Berufungen des Klägers und der Beklagten gegen das am 02.06.2022 verkündete Urteil der 1. Zivilkammer des Landgerichts Essen werden zurückgewiesen.

Der Kläger trägt die Kosten des Berufungsverfahrens.

Dieses und das angefochtene Urteil sind vorläufig vollstreckbar. Beide Parteien können eine Vollstreckung aus den Urteilen durch Sicherheitsleistung in Höhe von 110 Prozent des aufgrund des jeweiligen Urteils vollstreckbaren Betrages abwenden, wenn nicht die jeweils andere Partei vor der Vollstreckung Sicherheit in Höhe von 110 Prozent des jeweils zu vollstreckenden Betrages leistet.

Die Revision wird zugelassen.

Gründe

I.

Der Kläger verlangt immateriellen Schadensersatz aufgrund eines Verstoßes gegen den Datenschutz, insbesondere gegen Vorschriften der VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - Datenschutz-Grundverordnung - (im Folgenden: DS-GVO).

Die Beklagte betrieb im Jahr 2021 ein Impfzentrum in A, in dem Impfungen gegen das Coronavirus SARS-CoV-2 durchgeführt wurden. Aufgrund einer Änderung der Öffnungszeiten des Impfungszentrums war es erforderlich geworden, die Termine von 1.200 Bürgerinnen und Bürgern zu verschieben, worüber diese am 00.00.2021 mittels einer E-Mail informiert werden sollten.

Im Impfzentrum war eine aus Mitarbeitern der Beklagten bestehende Einheit mit der Terminverwaltung betraut, die am 00.00.2021 aus acht Personen bestand. Nach dem Vortrag der Beklagten waren die Mitarbeiter angehalten, E-Mails nur unter Wahrung eines Vier-Augen-Prinzips zu versenden und beim Versand von E-Mails an mehrere Empfänger die Bcc-Funktion zu nutzen, um gegenüber den Empfängern andere Adressaten nicht offenzulegen. Auch das Einfügen der E-Mail-Adressen in das Bcc-Feld und die Kontrolle von Text und Empfängerkreis vor dem Versand einer E-Mail erfolgte unter Wahrung des Vier-Augen-Prinzips.

Die Daten der zu impfenden Personen und deren Termine wurden in einem von der Kassenärztlichen Vereinigung Nordrhein eingerichteten und betriebenen Portal vorgehalten. Die für das Impfzentrum tätigen Mitarbeiter der Beklagten konnten mittels Benutzername und Passwort auf dieses Portal zugreifen, Terminbuchungen einsehen und als Excel-Tabellen exportieren. Da ein Versand von E-Mails aus dem Portal für sie technisch nicht möglich war, musste zur Information über die geänderten Öffnungszeiten zunächst eine Excel-Tabelle mit den Daten der von der Terminverlegung betroffenen Personen von einem Mitarbeiter der Beklagten aus dem Portal exportiert und auf einem Rechner der Beklagten gespeichert werden. Sodann waren die von den geänderten Öffnungszeiten betroffenen Personen herauszufiltern und deren E-Mail-Adressen herauszukopieren.

Nach Einfügen des Informationstextes in die E-Mail und der E-Mail-Adressen in das Bcc-Feld sollte der Versand der E-Mail aus dem Sammelpostfach "Mail01" erfolgen, schlug jedoch aus nicht bekannten Gründen fehl. Daher wurde die vorbereitete E-Mail von zwei mit der Bearbeitung befassten Mitarbeitern - so die Beklagte - mitsamt der Excel-Liste als Anhang an die dienstliche E-Mail-Adresse eines weiteren oder - nach den Angaben der Beklagten in der Stellungnahme vom 21.12.2022 zum Berichterstattervermerk zur Senatssitzung vom 09.12.2022 - eines in der Sache bereits tätigen Mitarbeiters der Beklagten versandt, um den Versand von dessen dienstlichem Rechner durchzuführen. Nach erneutem Einfügen der E-Mail-Adressen, die der angehängten Excel-Datei entnommen wurden, in das Bcc-Feld konnte der Versand der E-Mail nunmehr von dem anderen Rechner erfolgreich angestoßen werden. Da allerdings vor dem Absenden der Anhang nicht entfernt worden war, wurde auch die nicht durch ein Passwort vor einem einfachen Zugriff geschützte Excel-Datei als Anhang an die 1200 Empfänger versandt. Unmittelbar nach Versand der E-Mail wurde der Fehler bemerkt und die versandte E-Mail zurückgerufen, was in 500 Fällen erfolgreich war.

Die Excel-Datei enthielt personenbezogene Daten von rund 13.000 Personen, die einen Termin zur Durchführung einer Impfung im von der Beklagten betriebenen Impfzentrum gebucht hatten. Neben Vor- und Nachname, Anschrift und Geburtsdatum waren Angaben zum vorgesehenen Impfstoff und zur Frage enthalten, ob es sich um die erste oder zweite Impfung handelte. Soweit die Personen bei der Terminbuchung auch eine Telefonnummer und/oder eine E-Mail-Adresse angegeben hatten, waren auch diese Daten in der Datei enthalten. In Bezug auf den Kläger gab die Liste seinen Vor- und Nachnamen, seine Anschrift, sein Geburtsdatum, seine Mobilfunknummer, seine E-Mailadresse, den Impfstoff für die beabsichtigte zweite Impfung und das Datum der geplanten Impfung an.

In sämtlichen Fachbereichen der Beklagten besteht die Anweisung, einer zu adressierenden Person keine persönlichen Daten Dritter offenzulegen, wenn dazu keine rechtliche Legitimation besteht. In Ziffer 5.2.2 der Dienst- und Geschäftsordnung für die Beklagte (DiGO) ist bestimmt:

"Denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren."

Noch am 00.00.2021 rief die Beklagte die Empfänger des übersandten Anhangs auf, diese Daten unverzüglich zu löschen und informierte per Pressemitteilung die Öffentlichkeit über den Vorfall. Ferner meldete die Beklagte den Vorfall der zuständigen Aufsichtsbehörde. Mit Schreiben vom 05.08.2021 informierte sie den Kläger über den Vorgang sowie die konkret hinsichtlich seiner Person weitergegebenen Daten und sprach eine Entschuldigung aus. Zu den Folgen teilte die Beklagte mit, dass nach "Einschätzung des Datenschutzes" ein geringes Risiko für einen möglichen Missbrauch der Daten bestehe. Ferner unterrichtete die Beklagte den Kläger unter anderem über die von ihr zur Vermeidung künftiger Vorfälle ergriffenen Maßnahmen, wozu unter anderem die standardmäßige Sicherung von Excel-Tabellen per Kennwort vor einfachen Zugriffen gehöre.

Mit Rechtsanwaltsschreiben vom 19.08.2021 verlangte der Kläger gegenüber der Beklagten wegen der aus dem Datenschutzverstoß folgenden, aus seiner Sicht gravierenden Persönlichkeitsrechtsverletzung eine Entschädigung in Höhe von 20.000,00 Euro.

Mit Rechtsanwaltsschreiben vom 01.09.2021 bat die Beklagte zunächst um den Nachweis ordnungsgemäßer Bevollmächtigung und teilte darüber hinaus mit, dass vorbehaltlich dieses Nachweises ein Anspruch unter keinem rechtlichen Gesichtspunkt bestehe.

Der Kläger meint, der Vorfall stelle eine schwerwiegende Verletzung seines Rechts auf informationelle Selbstbestimmung als Teil des Persönlichkeitsrechts dar. Gegen ein Verschulden der Beklagten bestünden keine ernsthaften Bedenken; ein derartiger Vorfall dürfe schlichtweg nicht vorkommen. Der Verstoß sei derart massiv, dass reine Fahrlässigkeit eher auszuschließen sei; vielmehr spreche der Beweis des ersten Anscheins für eine vorsätzliche Begehungsweise aus dem Bereich der Mitarbeiter der Beklagten.

Entgegen der durch die Beklagte mit Schreiben vom 05.08.2021 geäußerten Einschätzung bestünde auch nicht lediglich ein geringes Risiko für einen möglichen Missbrauch der Daten. So habe der Kläger - wie auch andere Betroffene - am 18.08.2021 gezielt eine E-Mail einer angeblichen "Europäischen Zentrale für Verbraucherschutz" erhalten, die angebliche Möglichkeiten für eine Entschädigung aufzeige. Es habe sich hierbei um eine sogenannte Phishing-Mail gehandelt, mit der weitere Daten des Klägers hätten "abgegriffen" oder sein PC hätte "gehackt" werden sollen.

Zudem tauchten immer mehr militante Impfgegner auf, die auch vor Gewalttaten nicht zurückschreckten, weshalb der Kläger den Vorfall überaus ernst nehme. Durch diesen seien die Befürwortung der Corona-Impfung, der vollständige Name des Klägers und seine Anschrift unter anderem auch Kriminellen bekannt geworden.

In jedem Fall sei es am 00.00.2021 zu einem Kontrollverlust des Klägers über die streitgegenständlichen Daten gekommen.

Dass der Kläger selbst sich auf seinem Profil bei Facebook als Befürworter einer Impfung dargestellt habe, stehe dem Anspruch nicht entgegen. Insbesondere der Post des Klägers mit der Bemerkung "Booster ist drin" sei völlig unschädlich. Einerseits besage die Aussage allein rein gar nichts; andererseits fehlten jegliche Angaben zum genauen Impfserum und zu weiteren Daten. Insbesondere seien die mit E-Mail vom 00.00.2021 bekannt gemachten Daten wie Anschrift, Geburtsdatum, Telefonnummer, E-Mail-Adresse, gewählter Impfstoff und Anzahl der Impfungen nicht über sein Facebook-Profil bekannt gemacht worden. Darüber hinaus datiere der Post vom 08.01.2022.

Der Kläger meint, er könne aufgrund der Bekanntmachung seiner personenbezogenen Daten eine Entschädigung von 10.000,00 Euro beanspruchen. Dieser Betrag sei auch im Hinblick auf den Abschreckungseffekt, der von einer Entschädigung ausgehen müsse, geboten.

Zudem könne er Ersatz vorgerichtlicher Rechtsanwaltskosten verlangen. Diese Kosten seien durch die Rechtsschutzversicherung des Klägers gezahlt worden, die ihn zu deren Geltendmachung aktivlegitimiert habe.

Der Kläger hat - sinngemäß - beantragt,

die Beklagte zu verurteilen, an ihn ein Schmerzensgeld, dessen Höhe in das billige Ermessen des Gerichts gestellt wird, nebst fünf Prozentpunkten über dem Basiszinssatz seit dem 01.09.2021 zu zahlen;

die Beklagte zu verurteilen, an ihn Rechtsanwaltsgebühren in Höhe von 973,65 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 01.09.2021 zu zahlen.

Die Beklagte hat beantragt,

die Klage abzuweisen.

Sie hat behauptet, dass sich aus dem Vorfall keinerlei negative Folgen für den Kläger ergeben hätten, die einen immateriellen Schaden begründen könnten. Die vom Kläger behauptete Sorge, plötzlich Opfer von "Phishing-Mails" zu werden oder ins Fadenkreuz militanter Impfgegner zu geraten, sei weder für sich genommen eine schadensbegründende Folge, noch sei dieser Vortrag überhaupt glaubhaft. Die erhaltene E-Mail vom 18.08.2021 habe offensichtlich nicht auf das Hacken des Computers des Klägers abgezielt, sondern darauf, die Empfänger dafür zu gewinnen, vermeintliche Ansprüche gegen die Beklagte an die Firma B abzutreten.

Zudem sei der Kläger überaus freimütig mit seinen personenbezogenen Daten umgegangen und habe insbesondere seinen Impfstatus selbst im Internet veröffentlicht. So habe er auf der Plattform Facebook bekannt gemacht, dass er seit dem 08.01.2022 "geboostert" sei. Ferner sei der Kläger auf Messengerdienst01 aktiv und unterhalte unter seiner Mobilfunknummer ein frei einsehbares Messengerdienst02-Konto.

Im Übrigen hafte die Beklagte allenfalls gemäß § 839 BGB, der als Sonderregelung für den gesamten Bereich der Staatshaftung etwaige Ansprüche nach Art. 82 DS-GVO verdränge. Insoweit komme im Hinblick auf § 839 Abs. 1 S. 2 BGB allenfalls eine subsidiäre Haftung der Beklagten in Betracht; primär habe sich der Kläger an die Europäische Zentrale für Verbraucherschutz zu halten.

Ein Verstoß gegen die DS-GVO liege im Übrigen nicht vor. Insbesondere sei nicht erforderlich gewesen, die versehentlich versendete Liste passwortgeschützt zu speichern, da diese ausschließlich internen Zwecken gedient habe und nur von für diese Zwecke eingesetzten Mitarbeitern habe eingesehen werden können. Ein Versand der Liste sei hingegen zu keinem Zeitpunkt vorgesehen gewesen und lediglich aufgrund eines Versehens erfolgt.

Für eine Haftung der Beklagten nach § 823 Abs. 1 BGB oder Art. 82 DS-GVO fehle es zudem am Verschulden. Der Versand der Liste beruhe vielmehr auf einem bedauerlichen Fehler eines Mitarbeiters der Beklagten. Bei der Beklagten bestehe die klare Anweisung, keine persönlichen Daten Dritter offenzulegen, soweit keine rechtliche Legitimation bestehe. Auch seien die mit der Organisation des Impfungszentrums und der Terminvergabe betrauten Mitarbeiter der Beklagten im Hinblick auf den Umgang mit den Daten der Empfänger gezielt ausgewählt und geschult. Daher führe das bedauerliche menschliche Versagen in dieser speziellen Drucksituation dazu, dass sich die Beklagte kein Verschulden vorwerfen lassen müsse. Zwar könne auch ein Versehen ein Verschulden in Form leichter Fahrlässigkeit begründen. Dieses liege aber lediglich in der Person des betreffenden Mitarbeiters begründet, für dessen Verhalten sich die Beklagte gemäß § 831 Abs. 1 S. 2 BGB exkulpieren könne.

Auch ein - für einen Amtshaftungsanspruch erforderlicher - schwerwiegender Eingriff in das Persönlichkeitsrecht des Klägers liege nicht vor.

Schließlich fehle es an einem kausalen Schaden. Mit Ausnahme der angeblichen Auswirkungen der erhaltenen E-Mail der Europäischen Zentrale für Verbraucherschutz mache der Kläger keinerlei weiteren Angaben zu etwaigen negativen Folgen der Datenpanne. Insbesondere reiche die bloße Befürchtung von Nachteilen aufgrund einer möglichen unbefugten Nutzung von Daten, eine individuell empfundene Unannehmlichkeit oder ein angeblicher Kontrollverlust über die Daten nicht aus. Soweit der Kläger vortrage, die Daten könnten zum Identitätsdiebstahl genutzt werden, sei dies lediglich ein abstraktes und nicht sonderlich wahrscheinliches Risiko. Gleiches gelte für vermeintliche Phishing-Nachrichten oder fernliegende Konfrontationen mit Impfgegnern.

Schließlich stehe die Höhe des geltend gemachten Anspruchs außer Verhältnis zum behaupteten Verstoß. Insoweit sei zu berücksichtigen, dass überwiegend die Sozialsphäre des Klägers berührende Daten betroffen seien, es sich um ein bedauerliches Versehen einer Einzelperson in einer absoluten Ausnahmesituation gehandelt habe und die Beklagte alles in ihrer Macht stehende unternommen habe, um etwaige Risiken so gering wie möglich zu halten.

Darüber hinaus seien derzeit mehrere für den vorliegenden Rechtsstreit entscheidungserhebliche Rechtsfragen zur europarechtlichen Auslegung von Art. 82 DS-GVO im Rahmen von Vorabentscheidungsersuchen im Sinne von Art. 267 AEUV beim EuGH anhängig. Vor diesem Hintergrund sei das Verfahren gemäß § 148 ZPO bis zu einer Entscheidung des EuGH auszusetzen.

Wegen der weiteren Einzelheiten des zugrunde liegenden Sachverhalts und des beiderseitigen Sachvortrages wird auf die zwischen den Parteien erstinstanzlich gewechselten Schriftsätze nebst Anlagen sowie den Tatbestand des erstinstanzlichen Urteils des Landgerichts Essen vom 02.06.2022 Bezug genommen.

Mit am 02.06.2022 verkündetem Urteil hat das Landgericht die Beklagte unter gleichzeitiger Zulassung der Berufung zur Zahlung von 100,00 Euro nebst Zinsen verurteilt und die Klage im Übrigen abgewiesen.

Der Anspruch des Klägers folge, so das Landgericht, aus Art. 82 DS-GVO, der nicht durch § 839 BGB in Verbindung mit Art. 34 GG verdrängt werde. Denn eine Verdrängung unmittelbar geltenden europäischen Rechts durch nationale Vorschriften mit der Folge eines etwaigen Haftungsausschlusses komme nicht in Betracht.

Der Anwendungsbereich der DS-GVO sei eröffnet und es lägen auch Verstöße durch die Beklagte vor.

Die Beklagte habe gegen Art. 32 DS-GVO verstoßen. Denn es hätte geeigneter Schutzmaßnahmen jedenfalls gegen die versehentliche Versendung der sensiblen und umfassenden Datensätze bedurft. Eine Passwortsicherung der Excel-Tabelle und/oder ein Vier- bzw. Sechs-Augen-Prinzip bei Versendung derartiger Massen-E-Mails seien in Betracht gekommen. Derartige Maßnahmen wären unproblematisch möglich und der Beklagten zumutbar gewesen, da sie nicht mit erheblichen Kosten oder unzumutbarem technischen Aufwand verbunden gewesen wären.

Zudem liege ein Verstoß gegen Art. 5 Abs. 1 Buchst. f DS-GVO vor, da personenbezogene Daten nicht in einer Weise verarbeitet worden seien, die eine angemessene Sicherheit dieser Daten gewährleistet hätten, einschließlich eines Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische oder organisatorische Maßnahmen.

Da es sich bei den betroffenen Daten des Klägers auch um Gesundheitsdaten handele, liege mangels Einwilligung in die Weiterleitung auch ein Verstoß gegen Art. 9 Abs. 1 DS-GVO vor.

Durch den Versand sei schließlich gegen Art. 6 Abs. 1 UAbs. 1 Buchst. a DS-GVO verstoßen worden, da es an einer Einwilligung des Klägers oder einer sonstigen Rechtmäßigkeitsvoraussetzung fehle.

Das Verschulden der Beklagten werde nach Art. 82 Abs. 3 DS-GVO vermutet; eine Exkulpation sei ihr nicht gelungen. Eine Entlastung setze voraus, dass die beteiligten Mitarbeiter keinerlei Verschulden treffe. Ferner sei zu beachten, dass primärer Anknüpfungspunkt nicht das Verhalten eines einzelnen Mitarbeiters der Beklagten sei sondern vielmehr die Strukturschwäche in der Datenverwaltung des von der Beklagten geführten Impfzentrums, die auch den Verstoß gegen Art. 32 DS-GVO begründe. Damit sei auch bei Unterstellung des Vortrags der Beklagten deren Verantwortlichkeit gegeben. Denn es sei nicht erkennbar, dass die Beklagte in keinerlei Hinsicht für den Verstoß verantwortlich sei, zumal weitergehende Schutzmechanismen hätten installiert werden können und müssen. Da Anknüpfungspunkt die mangelhafte Organisation der Beklagten und nicht das Verhalten eines ihrer Mitarbeiter sei, komme es auf die - rechtlich umstrittene - Exkulpationsmöglichkeit nach den Grundsätzen von § 831 Abs. 1 S. 2 BGB nicht an. Darüber hinaus komme eine Aushebelung einer europarechtlichen Haftungsnorm durch eine dem europäischen Recht fremde nationale Exkulpationsregelung bereits systematisch nicht in Betracht.

Der unfreiwillige Datenverlust begründe auch einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DS-GVO. Dieser sei insbesondere im Kontrollverlust zu sehen, der vom Verordnungsgeber auch als Schaden gesehen werde, wie sich aus Erwägungsgrund 85 zur DS-GVO ergebe. Im konkreten Fall sei der dem Kläger entstandene immaterielle Schaden mit 100,00 Euro zu bemessen. Insoweit sei zu berücksichtigen, dass die versendeten Daten eine konkrete und individuelle Identifizierung des Klägers und damit auch einen etwaigen Missbrauch in vielerlei Hinsicht ermöglichten. Neben Werbe- und Phishing-Mails kämen Identitätsdiebstahl, Rechnungsbestellungen und Ähnliches in Betracht; zudem sei zu berücksichtigen, dass eine endgültige und nicht rückgängig zu machende Übersendung der Daten erfolgt sei. Der Datenverlust sei dauerhaft; zudem seien sensible und durch Art. 9 DS-GVO besonders geschützte Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DS-GVO betroffen. Eine Weitergabe an Dritte sei trotz Rückrufversuchen und Informationsschreiben der Beklagten nicht auszuschließen. Andererseits seien keine konkreten, berücksichtigungsfähigen Beeinträchtigungen ersichtlich. Der Vortrag des Klägers beschränke sich im Wesentlichen auf den Verstoß gegen die DS-GVO und den Datenverlust selbst. Eine weitergehende konkrete Betroffenheit habe sich nicht ergeben. Der Hinweis des Klägers auf militante Impfgegner sei hypothetisch. Auch die vom Kläger behauptete Phishing-Mail habe bei der Zumessung wenig Relevanz, da mit dem Risiko unerwünschter Kontaktaufnahme im digitalen Raum der Kläger wie jeder Nutzer von E-Mails und jeglicher Form sozialer Netzwerke unabhängig vom streitgegenständlichen Vorfall belastet sei, was zum allgemeinen Lebensrisiko gehöre.

Auch wenn dem Anspruch nach Art. 82 DS-GVO in gewissem Umfang ein Abschreckungsgedanke innewohne, stehe dieser in seiner Bedeutung allerdings hinter dem Zweck des Ersatzes des entstandenen Schadens zurück. Während die Abschreckung in Art. 83 DS-GVO ausdrücklich geregelt sei, sei dies bei Art. 82 DS-GVO nicht der Fall. Darüber hinaus sei zu berücksichtigen, dass im vorliegenden Fall ca. 13.000 Personen betroffen seien und damit auch bei einem verhältnismäßig geringfügigen Betrag ein nicht unerheblicher Abschreckungseffekt eintrete.

Schließlich sei der Grad des Verschuldens zu berücksichtigen. Für ein vorsätzliches Verhalten bestünden keine Anhaltspunkte; das klägerische Vorbringen hierzu sei spekulativ. Für einen Anscheinsbeweis fehle es an einer rechtlichen Grundlage. Auch eine Kapitalisierung der Daten durch die Beklagte bzw. deren Verwendung für nicht genehmigte Zwecke liege unstreitig nicht vor.

Demgegenüber müsse sich der Kläger nur in sehr begrenztem Umfang entgegenhalten lassen, dass er einen Teil der nunmehr an Dritte versandten Daten bereits selbst einer überschaubaren Öffentlichkeit preisgegeben habe. Insoweit habe der Kläger lediglich sein Geburtsdatum auf seiner öffentlich einsehbaren Facebook-Seite veröffentlicht, jedoch keine weiteren Daten. Bei Adresse, E-Mail-Adresse und Mobilfunknummer handele sich darüber hinaus um Daten, welche Gegenstand regelmäßiger Preisgabe seien, da diese bei einer Vielzahl von Gelegenheiten angegeben werden müssten. Die Anschrift des Klägers könne zudem durch eine einfache Melderegisterauskunft erfragt werden. Auch die Mobilfunknummer sei in Zeiten diverser Programme mit Gruppenfunktion bei offengelegten Nummern der Teilnehmer eher bekannt. Die bekannt gegebenen Daten seien zudem abzugrenzen von sensibleren Daten wie etwa Kontodaten, Kreditkartennummern, Benutzernamen, Passwörtern, PINs, spezifischeren Gesundheitsdaten, Sozialversicherungsnummer oder Steuerdaten.

Der Anspruch des Klägers auf Zahlung vorgerichtliche Rechtsanwaltskosten scheitere an der Aktivlegitimation des Klägers. Diese sei von der Beklagten in Abrede und vom Kläger nicht unter Beweis gestellt worden. Das vom Kläger vorgelegte Dokument (Blatt 141 der LG-Akte) lasse nicht erkennen, dass es sich hierbei um eine Kostenzusage handele, da der vorgelegten Seite weder ein nachvollziehbarer Bezug zum Kläger noch zum Sachverhalt des vorliegenden Rechtsstreits zu entnehmen sei. Letztlich bleibe offen, ob der Kläger zur Geltendmachung der gemäß § 86 Abs. 1 VVG auf die Rechtsschutzversicherung übergegangenen Ansprüche ermächtigt sei.

Einer Vorlage zum Europäischen Gerichtshof bedürfe es ebenso wenig wie einer Aussetzung des Verfahrens. Denn eine Vorlagepflicht bestehe lediglich in Verfahren bei Gerichten, deren Entscheidungen nicht mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden könnten.

Ein weitergehender Anspruch des Klägers ergebe sich auch nicht aus einer anderen Anspruchsgrundlage, insbesondere nicht aus § 839 BGB in Verbindung mit Art. 34 GG bzw. in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG. Schadenersatz wegen immaterieller Einbußen werde insoweit nur bei einem schwerwiegenden Eingriff in das Persönlichkeitsrecht geschuldet. An einem solchen schwerwiegenden Eingriff fehle es hier im Hinblick auf Art und Schwere der Beeinträchtigung, Grad des Verschuldens sowie Anlass und Beweggrund des Handelns. Auch komme dem Sanktionsgedanken im nationalen Recht keine Bedeutung zu.

Wegen der weiteren Einzelheiten der Urteilsbegründung des Landgerichts wird auf das angefochtene Urteil erster Instanz Bezug genommen.

Mit seiner hiergegen gerichteten Berufung verfolgt der Kläger sein erstinstanzliches Begehren unter Wiederholung und Vertiefung seines erstinstanzlich gehaltenen Vortrags weiter, während die Beklagte mit ihrer Berufung weiterhin die vollständige Abweisung der Klage begehrt.

Der Kläger meint, die landgerichtliche Entscheidung überzeuge nicht, soweit das Landgericht einen Anspruch wegen einer Verletzung des allgemeinen Persönlichkeitsrechts gemäß § 823 Abs. 1 bzw. § 839 BGB in Verbindung mit Art. 34 GG in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG verneint habe, da ein schwerwiegender Eingriff in das Persönlichkeitsrecht des Klägers nicht vorliege. Wenn das Landgericht im Rahmen der Subsumtion eines Anspruchs nach Art. 82 DS-GVO eine weitreichende und schwere Rechtsverletzung zum Nachteil des Klägers feststelle, stehe dies im Widerspruch dazu, dass es gleichwohl eine schwere Persönlichkeitsrechtsverletzung im Rahmen eines Anspruchs nach nationalem Recht verneint habe. Nach den Ausführungen zum Verstoß gegen die DS-GVO habe das Landgericht zwingend auch das Vorliegen einer schweren Persönlichkeitsrechtsverletzung bejahen müssen.

Der vom Landgericht ausgeurteilte Betrag von 100,00 Euro sei zudem eher symbolischer Natur und entfalte weder nach der DS-GVO noch im Sinne der Vorgaben des Bundesgerichtshofs zum Präventionsgedanken eine abschreckende Wirkung.

Der Kläger beantragt,

unter Abänderung des am 02.06.2022 verkündeten Urteils des Landgerichts Essen, Aktenzeichen 1 O 272/21,

die Beklagte zu verurteilen, an ihn ein Schmerzensgeld, dessen Höhe in das billige Ermessen des Gerichts gestellt wird, nebst fünf Prozentpunkten über dem Basiszinssatz seit dem 01.09.2021 zu zahlen;

die Beklagte zu verurteilen, an ihn Rechtsanwaltsgebühren in Höhe von 973,65 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 01.09.2021 zu zahlen.

Die Beklagte beantragt,

unter Abänderung des am 02.06.2022 verkündeten Urteils des Landgerichts Essen, Aktenzeichen 1 O 272/21, die Klage in vollem Umfang abzuweisen.

Die Beklagte wiederholt und vertieft ihre Ausführungen aus erster Instanz und beantragt erneut die Aussetzung des Verfahrens gemäß § 148 ZPO bis zu einer Entscheidung des EuGH in den dort anhängigen Vorabentscheidungsverfahren im Sinne von Art. 267 AEUV.

Wegen der weiteren Einzelheiten des Vorbringens der Parteien im Berufungsverfahren wird auf die in der Berufungsinstanz gewechselten Schriftsätze nebst Anlagen sowie auf den Berichterstattervermerk zum Senatstermin vom 09.12.2022 Bezug genommen.

II.

Die Berufungen des Klägers und der Beklagten sind zulässig.

Zwar übersteigt der Wert des Beschwerdegegenstands hinsichtlich der Beklagten entgegen § 511 Abs. 2 Nr. 1 ZPO nicht 600,00 Euro. Allerdings hat das Landgericht die Berufung zugelassen, woran der Senat gebunden ist.

Die von beiden Parteien gestellten Berufungsanträge legt der Senat zudem so aus, dass die Parteien die Zurückweisung der jeweiligen Berufung der Gegenseite beantragen, auch wenn diese Anträge im Senatstermin am 09.12.2022 nicht ausdrücklich gestellt wurden. Die Berufungsanträge der beiden Parteien setzen jeweils voraus, dass die Berufung der Gegenseite keinen Erfolg hat, so dass ihnen die genannten Anträge im Wege der Auslegung entnommen werden können.

Die Berufungen beider Parteien sind jedoch jeweils unbegründet. Zu Recht und mit zutreffender Begründung hat das Landgericht dem Kläger einen Zahlungsanspruch lediglich in Höhe von 100,00 Euro zuzüglich Zinsen zuerkannt und die Klage im Übrigen abgewiesen.

Die Klage ist zulässig, insbesondere auch hinsichtlich eines Anspruchs aus Art. 82 Abs. 1 DS-GVO. Die Zuständigkeit deutscher Gerichte folgt insoweit aus Art. 82 Abs. 6, 79 Abs. 2 DS-GVO. Die Klage ist aber nur in Höhe eines Betrages von 100,00 Euro zuzüglich Zinsen begründet, im Übrigen ist sie unbegründet.

1. Die Beklagte haftet dem Kläger aus Art. 82 Abs. 1 DS-GVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

a) Die DS-GVO ist auf den vorliegenden Fall anwendbar.

aa) Der zeitliche Anwendungsbereich ist eröffnet, da sich der streitgegenständliche Vorfall nach dem 25.05.2018 ereignet hat, Art. 99 Abs. 2 UAbs. 1 DS-GVO.

bb) Auch der sachliche Anwendungsbereich der DS-GVO ist eröffnet.

Gemäß Art. 2 Abs. 1 DS-GVO gilt diese für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die in der Excel-Datei enthaltenen und offenbarten Angaben zur Person des Klägers (Name, Geburtsdatum, Anschrift, Telefonnummer, E-Mail-Adresse, Impfstatus) sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO. Die Versendung der Datei mit den enthaltenen Daten per E-Mail an eine Vielzahl von Empfängern stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DS-GVO dar ("Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung"). Auch handelt es sich bei der versandten Excel-Datei um ein Dateisystem im Sinne von Art. 4 Nr. 6 DS-GVO, nämlich eine strukturierte Sammlung personenbezogener Daten.

cc) Art. 82 DS-GVO, der gemäß Art. 288 Abs. 2 AEUV unmittelbar gilt, wird entgegen der Auffassung der Beklagten auch nicht durch § 839 BGB verdrängt.

Zwar verdrängt § 839 BGB in seinem Anwendungsbereich konkurrierende Ansprüche aus §§ 823 ff. BGB sowie Ansprüche außerhalb des BGB, die Verschulden oder vermutetes Verschulden voraussetzen (BGH, Urteil vom 06.06.2019 - III ZR 124/18, juris Rn. 10 m. w. N.; Wöstmann, in: Staudinger, BGB, Neubearbeitung 2020, § 839 Rn. 34). Der Grund hierfür ist aber in erster Linie in Art. 34 S. 1 GG zu sehen, wonach für den durch eine Amtspflichtverletzung eines Amtsträgers verursachten Schaden der Staat oder die Körperschaft haftet, in deren Dienst er steht, nicht aber der Amtsträger selbst. Insoweit wird auch das durch §§ 823 ff. BGB begründete Schutzniveau durch diese Verdrängung nicht beeinträchtigt; die Begehung eines Deliktstatbestands durch einen Amtsträger im Rahmen der Amtsausübung ist zugleich eine Amtspflichtverletzung (vgl. BGH, Urteil vom 28.11.2002 - III ZR 122/02, juris Rn. 9; Wöstmann, in: Staudinger, BGB, Neubearbeitung 2020, § 839 Rn. 34; Dörr, in: Gsell/Krüger/Lorenz/Reymann, BeckOGK, Stand 01.08.2022, § 839 BGB Rn. 31).

Der Anspruch aus Art. 82 Abs. 1 DS-GVO ist aber auch dann, wenn er sich gegen eine Behörde richtet, kein Anspruch aus der Verletzung einer Amtspflicht im Sinne von Art. 34 S. 1 GG, da es sich hierbei nicht um eine auf die Anstellungskörperschaft übergeleitete Haftung eines Amtsträgers handelt, sondern um eine originäre Haftung der Behörde selbst. Denn durch Art. 34 S. 1 GG wird der Staat zwar zum Haftungssubjekt, nicht aber zum Zurechnungssubjekt (vgl. BVerfG, Urteil vom 19.10.1982 - 2 BvF 1/81, juris Rn. 139). Der Anspruch aus Art. 82 Abs. 1 DS-GVO richtet sich aber gegen den Verantwortlichen oder den Auftragsverarbeiter. Verantwortlicher ist gemäß Art. 4 Nr. 7 DS-GVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist gemäß Art. 4 Nr. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die Begriffe des Verantwortlichen und des Auftragsverarbeiters sind daher institutionell zu verstehen. Werden in einer Behörde Daten verarbeitet, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO und damit auch nicht Adressat des Anspruchs. Dieser richtet sich vielmehr unmittelbar gegen den Staat bzw. die jeweilige Anstellungskörperschaft (vgl. BFH, Beschluss vom 28.06.2022 - II B 92/21, juris Rn. 18).

Gemäß Erwägungsgrund 146 S. 4 zur DS-GVO gilt Art. 82 DS-GVO im Übrigen unbeschadet von Schadensersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. Der Anspruch aus § 839 Abs. 1 S. 1 BGB in Verbindung mit Art. 34 S. 1 GG kommt daher neben einem Anspruch aus Art. 82 DS-GVO in Betracht, der keine abschließende Regelung darstellt, verdrängt diesen aber nicht (vgl. Frenzel, in: Paal/Pauly, DS-GVO, BDSG, 3. Auflage 2021, Art. 82 DS-GVO Rn. 20; Gola/Piltz, in: Gola/Heckmann, DS-GVO - BDSG, 3. Auflage 2022, Art. 82 DS-GVO Rn. 27; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS-GVO Rn. 8; Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/BDSG, Stand: August 2022, Art. 82 DS-GVO Rn. 36; Bergt, in: Kühling/Buchner, DS-GVO, BDSG, 3. Auflage 2020, Art. 82 DS-GVO Rn. 67; vgl. auch OLG Düsseldorf, Urteil vom 28.10.2021 - 16 U 275/20, juris Rn. 69; KG, Beschluss vom 02.02.2021 - 9 W 1117/20, juris Rn. 44).

Eine derartige Verdrängung des Anspruchs aus Art. 82 Abs. 1 DS-GVO, wie sie die Beklagte annimmt, wäre auch mit dem in Art. 4 Abs. 3 EUV zum Ausdruck kommenden Grundsatz, wonach den Normen des europäischen Gemeinschaftsrechts eine möglichst optimale Wirkungskraft zukommen muss ("effet utile"), nicht in Einklang zu bringen.

b) Der Kläger ist für den geltend gemachten Anspruch aktivlegitimiert. Denn anspruchsberechtigt ist nach Art. 82 Abs. 1 DS-GVO jede Person, der wegen eines Verstoßes gegen die DS-GVO ein Schaden entstanden ist.

c) Die Beklagte ist als Verantwortliche im Sinne von Art. 4 Nr. 7 DS-GVO passivlegitimiert im Sinne von Art. 82 Abs. 1 DS-GVO.

d) Es liegt auch ein Verstoß gegen die DS-GVO im Sinne von Art. 82 Abs. 1 DS-GVO vor.

Als Verstoß kommen materielle und formelle Verstöße in Betracht. Nach Wortlaut und Zielrichtung der Norm muss kein Verstoß gegen in der DS-GVO geregelte Datenschutzbestimmungen vorliegen; es genügt vielmehr ein Verstoß gegen die Verordnung selbst (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS-GVO Rn. 14). Im Hinblick auf Erwägungsgrund 146 S. 1 zur DS-GVO muss allerdings bei einer Verarbeitung gegen die DS-GVO verstoßen worden sein (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Auflage 2018, Art. 82 Rn. 8). Die Beweislast für einen solchen Verstoß obliegt grundsätzlich dem Anspruchsteller, wobei die allgemeine Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu Erleichterungen führen kann (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS-GVO Rn. 16).

aa) Es liegt ein Verstoß gegen Art. 5 Abs. 1 Buchst. a DS-GVO vor.

Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Die Verarbeitung der personenbezogenen Daten des Klägers, die in ihrem Versand als Anhang zu der E-Mail an deren Empfänger zu erblicken ist, und damit ihre Offenlegung gegenüber Dritten war rechtswidrig. Denn die Verarbeitung ist nach Art. 6 Abs. 1 UAbs. 1 DS-GVO nur rechtmäßig, wenn mindestens eine der dort genannten Bedingungen erfüllt ist. Dies ist hier nicht ersichtlich. Weder lag eine Einwilligung des Klägers im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. a DS-GVO vor, noch war die Verarbeitung in Gestalt der Übermittlung als Anhang zu der E-Mail für einen der in Art. 6 Abs. 1 UAbs. 1 Buchst. b bis f DS-GVO genannten Zwecke erforderlich.

bb) Es liegt auch ein Verstoß gegen Art. 5 Abs. 1 Buchst. f DS-GVO vor.

Nach der Vorschrift müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

Die Vorschrift stellt auf eine angemessene Sicherheit personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen ab. Nach Erwägungsgrund 39 S. 12 zur DS-GVO gehört hierzu unter anderem auch, dass unbefugte Personen weder Zugang zu den Daten noch zu den Geräten haben, mit denen sie verarbeitet werden (Schantz, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.11.2021, Art. 5 DS-GVO Rn. 35 f.).

Die von der Beklagten in zweiter Instanz vorgetragenen und vom Kläger nicht bestrittenen Tatsachen zu den Abläufen im Zusammenhang mit dem Versand der E-Mail vom 00.00.2021 machen deutlich, dass die Beklagte die diesbezüglichen Anforderungen grundsätzlich beachtet hat, da die entsprechenden Daten der Terminbuchungen nur von bestimmten Personen eingesehen, bearbeitet und nur auf bestimmten Geräten gespeichert werden durften. Außerdem wurde, wie von Seiten der Beklagten im Senatstermin am 09.12.2022 noch einmal glaubhaft dargestellt, ein Vier-Augen-Prinzip praktiziert, mit dem einem Missbrauch von personenbezogenen Daten und auch unbeabsichtigten Fehlern bei der Datenverarbeitung entgegengewirkt werden konnte.

Dennoch war die konkrete Datenverarbeitung nicht ausreichend abgesichert, weil der Versand der E-Mails von den beiden damit befassten Mitarbeitern mit der versehentlich nicht entfernten, unverschlüsselten Excel-Datei erfolgte, die den Empfängern nicht zu offenbarende personenbezogene Daten Dritter enthielt. Diese Verarbeitung bewirkte einen unbeabsichtigten Datenschutzverstoß, der bereits eine Verletzung des Art. 5 Abs. 1 Buchst. f DS-GVO darstellt. Ob es zudem eine Anweisung der Beklagten zur grundsätzlichen Verschlüsselung von (Excel-)Dateien mit den Daten zu impfender Personen für die Mitarbeiter der in Frage stehenden Arbeitseinheit im Impfzentrum hätte geben müssen, ist für die Frage des Verstoßes gegen Art. 5 Abs. 1 Buchst. f DS-GVO unerheblich, weil die (unverschlüsselte) Excel-Datei überhaupt nicht hätte versandt werden dürfen.

cc) Zudem liegt ein Verstoß gegen Art. 9 Abs. 1 DS-GVO vor.

Nach dieser Vorschrift ist die Verarbeitung von Gesundheitsdaten untersagt, sofern nicht eine Ausnahme nach Art. 9 Abs. 2 DS-GVO vorliegt. Gesundheitsdaten sind gemäß Art. 4 Nr. 15 DS-GVO personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Gemäß Erwägungsgrund 35 S. 1 zur DS-GVO sollen hierzu alle Daten gehören, die sich auf den Gesundheitszustand der betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand hervorgehen. Anknüpfungspunkt ist damit der Gesundheitszustand, nicht aber die Krankheit einer Person, weshalb auch die Feststellung, dass eine Person genesen oder überhaupt völlig gesund ist, vom Begriff der Gesundheitsdaten erfasst wird (Weichert, in: Kühling/Buchner, DS-GVO, BDSG, 3. Auflage 2020, Art. 4 Nr. 15 DS-GVO Rn. 1).

Gesundheitsdaten sind hier die Informationen über die Anzahl der Impfungen und den vorgesehenen Impfstoff. Nach den Angaben des Klägers im Senatstermin stand für diesen seinerzeit die zweite Impfung an. Jedenfalls diese Information stellt ein Gesundheitsdatum im Sinne von Art. 4 Nr. 15 DS-GVO dar. Denn aus dem Umstand, dass der Kläger bereits eine Impfung erhalten hatte und nunmehr eine zweite Impfung anstand, konnte jedenfalls der Rückschluss gezogen werden, dass in der Person des Klägers eine Kontraindikation gegen eine Impfung etwa aufgrund einer Vorerkrankung nicht gegeben war.

Eine Ausnahme im Sinne von Art. 9 Abs. 2 DS-GVO greift vorliegend nicht ein. Weder lag eine Einwilligung des Klägers im Sinne von Art. 9 Abs. 2 Buchst. a DS-GVO vor, noch war die Verarbeitung in Gestalt der Übermittlung als Anhang zu der E-Mail für einen der in Art. 9 Abs. 2 Buchst. b bis j DS-GVO genannten Zwecke erforderlich.

dd) Ob auch ein Verstoß gegen Art. 32 Abs. 1 DS-GVO gegeben ist, den das Landgericht bejaht hat, kann der Senat offen lassen. Ein eventueller Verstoß hätte ein geringes Gewicht und fiele neben den Verstößen gegen Art. 5 Abs. 1 Buchst. a und f und 9 Abs. 1 DS-GVO nicht ins Gewicht.

Nach Art. 32 Abs. 1 DS-GVO sollen unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen die Verantwortlichen geeignete technische und obligatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Wie bereits ausgeführt, hat die Beklagte Maßnahmen zur Einhaltung der Anforderungen des Datenschutzes bei der Datenverarbeitung in ihrem Impfzentrum getroffen, die grundsätzlich geeignet waren, personenbezogene Daten vor einem unbefugten Zugriff, unrechtmäßiger Verarbeitung und auch unbeabsichtigten Pflichtverletzungen zu schützen. So erfolgte die Verarbeitung durch eine begrenzte Anzahl eingewiesener Mitarbeiter allein auf dienstlichen Computern nach dem beschriebenen Vier-Augen-Prinzip.

Ob es dann letztlich, um den an die Integrität und Vertraulichkeit der zu bearbeitenden Daten gem. Art. 32 DS-GVO zu stellenden Anforderungen zu genügen, noch der Anweisung bedurft hätte, (Excel-)Dateien mit personenbezogenen Daten mit einem Passwortschutz zu versehen, bedarf keiner abschließenden Bewertung. Nähme man einen Verstoß an, fiele er bei dem im vorliegenden Fall zu beurteilenden Datenschutzverstoß nicht erheblich ins Gewicht.

Die in Frage stehende Excel-Datei musste kurzzeitig erstellt werden, um die E-Mailadressen der Impfwilligen zu ermitteln, die von den geänderten Öffnungszeiten des Impfzentrums betroffen waren und deswegen informiert werden sollten. Sie wurde nur zu diesem Zweck und auch nur für eine kurze Zeit benötigt und konnte nach der Erledigung der Aufgabe gelöscht werden, was nach den Angaben der Beklagten nach dem Versand der E-Mails zur Information der von den geänderten Öffnungszeiten betroffenen Impfwilligen auch erfolgte (die Excel-Datei ist heute bei der Beklagten nicht mehr verfügbar). Dass bei der Erledigung dieser Aufgabe eine Situation entstand, in der es zum versehentlichen Versand der Datei als E-Mail-Anhang kommen konnte, in dem der streitgegenständliche Datenschutzverstoß liegt, ist nach den auch insoweit glaubhaften Angaben der Beklagten den bei der Bearbeitung auftretenden technischen Schwierigkeiten geschuldet. Diese führten dazu, dass die Excel-Datei mit einem anderen Rechner, als dem Rechner, mit dem sie erstellt worden war, bearbeitet werden musste und deswegen als E-Mail-Anhang zunächst verschickt wurde, um E-Mail und Excel-Datei an einem anderen Rechner bearbeiten zu können. Dass diese nur für einen kurzen Zeitraum benötigte Excel-Datei, die an sich auch nicht als E-Mail-Anhang benötigt wurde, bei ihrer Erstellung nicht verschlüsselt wurde, ist kein Umstand, der bei dem in Frage stehenden Datenschutzverstoß erheblich ins Gewicht fällt. Maßgeblich ist insoweit, wie bereits ausgeführt, dass sie von den mit dem Versand der E-Mail befassten Mitarbeitern als E-Mail-Anhang übersehen und deswegen vor dem Abschicken der E-Mail nicht entfernt wurde, was insbesondere einen Verstoß gegen Art. 5 Abs. 1 Buchst. a und f und 9 Abs. 1 DS-GVO darstellt.

e) Die Beklagte ist nicht gemäß Art. 82 Abs. 3 DS-GVO von der Haftung befreit.

Gemäß Art. 82 Abs. 3 DS-GVO wird der Anspruchsverpflichtete von der Haftung befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Verantwortung ist hier das Verschulden im Sinne der deutschen Rechtsterminologie und nicht die datenschutzrechtliche Verantwortung (LG Mainz, Urteil vom 12.11.2021 - 3 O 12/20, juris Rn. 73 - nicht rechtskräftig; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS-GVO Rn. 17 und 17.2; Geissler/Ströbel, in: NJW 2019, 3414 (3415)). Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet. Um die Feststellung treffen zu können, der Verantwortliche sei "in keinerlei Hinsicht" verantwortlich, hat der Verantwortliche nachzuweisen, dass er alle Sorgfaltspflichten erfüllt hat und ihm damit nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/BDSG, Stand: August 2022, Art. 82 DS-GVO Rn. 29). Dies wäre etwa der Fall, wenn von allen mit der Datenverarbeitung befassten Personen alle erforderlichen technischen und organisatorischen Datensicherungsmaßnahmen eingehalten wurden und es dennoch zu einem unbefugten Datenzugriff kommt (vgl. Bergt, in: Kühling/Buchner, DS-GVO, BDSG, 3. Auflage 2020, Art. 82 DS-GVO Rn. 54).

aa) Diesen Nachweis hat die Beklagte indes nicht zu führen vermocht. Im Hinblick auf die Verstöße gegen Art. 5 Abs. 1 Buchst. a und f sowie 9 Abs. 1 DS-GVO liegt ein der Beklagten zuzurechnendes Verschulden ihrer Mitarbeiter vor, die die E-Mail abgesandt haben. Die allgemeinen Grundsätze des § 278 BGB gelten auch hier (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS-GVO Rn. 20). Die Absendung der E-Mail ohne das vorherige Entfernen der angehängten Excel-Datei ist zumindest als fahrlässig im Sinne von § 276 Abs. 2 BGB einzustufen. Bei Beachtung der gebotenen Sorgfalt wäre vor dem Absenden der E-Mail zunächst die angehängte Datei bemerkt und dann noch entfernt worden. Für das Verhalten ihrer Mitarbeiter haftet die Beklagte als Verantwortliche, ohne sich entlasten zu können (vgl. Bergt, in: Kühling/Buchner, DS-GVO, BDSG, 3. Auflage 2020, Art. 82 DS-GVO Rn. 55; Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Auflage 2018, Art. 82 Rn. 20; Frenzel, in: Paal/Pauly, DS-GVO, BDSG, 3. Auflage 2021, Art. 82 DS-GVO Rn. 15).

bb) Soweit die Auffassung vertreten wird, Art. 82 Abs. 1 DS-GVO regle einen Fall verschuldensunabhängiger Haftung (vgl. etwa BAG, EuGH-Vorlage vom 26.08.2021 - 8 AZR 253/20 (A), juris Rn. 39), kommt es auf die Entscheidung dieser Frage für den vorliegenden Fall nicht an, da von einem fahrlässigen und damit auch schuldhaften Verstoß auszugehen ist.

cc) Entgegen der Auffassung der Beklagten kann sie sich auch nicht unter Verweis auf § 831 Abs. 1 S. 2 BGB entlasten. Denn diese Exkulpationsregel ist nach Auffassung des Senats nicht anzuwenden. Zwar mag die Einordnung des Anspruchs aus Art. 82 DS-GVO als deliktischer Anspruch dafür sprechen, die allgemeinen Regeln des deutschen Deliktsrechts ergänzend heranzuziehen. Allerdings spricht bereits der Wortlaut von Art. 82 Abs. 3 DS-GVO dagegen. Dieser lässt eine Entlastung des Verantwortlichen oder Auftragsverarbeiters nur dann zu, wenn er in keinerlei Hinsicht für den Umstand, durch den der Schaden entstanden ist, verantwortlich ist. Hiernach genügt es nicht, dass der Verantwortliche bei einer arbeitsteilig organisierten Datenverarbeitung seine mit der Datenverarbeitung befassten Mitarbeiter sorgfältig aussucht und überwacht. Deswegen sind bei der Beurteilung dieser Frage auch die datenschutzrechtlichen Sonderregelungen mit ihren Organisationspflichten in den Blick zu nehmen, die auf diese Weise ausgehebelt werden könnten. Dies wäre mit dem von Art. 82 DS-GVO beabsichtigten wirkungsvollen und umfassenden Schadenersatz im Sinne von Erwägungsgrund 146 S. 3 zur DS-GVO nicht zu vereinbaren (Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS-GVO Rn. 20; Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Auflage 2018, Art. 82 Rn. 20; Gola/Piltz, in: Gola/Heckmann, DS-GVO/BDSG, 3. Auflage 2022, Art. 82 DS-GVO Rn. 25; wohl auch Bergt, in: Kühling/Buchner, DS-GVO, BDSG, 3. Auflage 2020, Art. 82 DS-GVO Rn. 55).

dd) Eine Haftung der Beklagten ist entgegen deren Auffassung auch nicht gemäß § 839 Abs. 1 S. 2 BGB ausgeschlossen.

Der Anspruch aus Art. 82 Abs. 1 DS-GVO ist - wie bereits dargelegt - kein Amtshaftungsanspruch, so dass auch § 839 Abs. 1 S. 2 BGB keine Anwendung findet. Dies wäre im Übrigen mit dem Grundsatz des "effet utile" unvereinbar (vgl. Frenzel, in: Paal/Pauly, DS-GVO, BDSG, 3. Auflage 2021, Art. 82 DS-GVO Rn. 20).

f) Dem Kläger ist auch ein immaterieller Schaden entstanden.

Einen solchen sieht der Kläger insbesondere in dem mit dem Versand der Excel-Datei verbundenen Kontrollverlust seiner in der Datei aufgeführten personenbezogenen Daten und dem späteren Erhalt einer Phishing-E-Mail am 18.08.2021, den er auf diesen Kontrollverlust zurückführt.

Einen ihm entstandenen materiellen Schaden macht er - abgesehen von der als Nebenforderung verlangten Erstattung vorgerichtlich entstandener Rechtsanwaltskosten - mit seiner Klage nicht geltend.

Der Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DS-GVO ist - europarechtlich autonom und unter Berücksichtigung der in den Erwägungsgründen zur DS-GVO niedergelegten Zielsetzungen - weit auszulegen (OLG Koblenz, Urteil vom 18.05.2022 - 5 U 2141/21, juris Rn. 72).

aa) Nach dem Wortlaut von Art. 82 Abs. 1 DS-GVO muss der Schaden "entstanden" sein. Dies gilt auch für einen immateriellen Schaden. Im Erwägungsgrund 146 S. 6 zur DS-GVO ist insoweit ausdrücklich von einem "erlittenen Schaden" die Rede. Der Schaden ist daher nicht mit der zugrunde liegenden Verletzung der DS-GVO gleichzusetzen (OLG Koblenz, Urteil vom 18.05.2022 - 5 U 2141/21, juris Rn. 74; OLG Frankfurt, Urteil vom 02.03.2022 - 13 U 206/20, juris Rn. 70 f.; OLG Bremen, Beschluss vom 16.07.2021 - 1 W 18/21, juris Rn. 2; Buchner/Wessels, in: ZD 2022, 251 (254 f.)). Auch ein immaterieller Schaden muss daher konkret dargelegt werden (OLG Brandenburg, Beschluss vom 11.08.2021 - 1 U 69/20, juris Rn. 3; OLG Bremen, Beschluss vom 16.07.2021 - 1 W 18/21, juris Rn. 2; LG Hamburg, Urteil vom 04.09.2020 - 324 S 9/19, juris Rn. 34; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS-GVO Rn. 23a).

bb) Allerdings sind die Voraussetzungen für einen Anspruch auf immateriellen Schadensersatz in der Rechtsprechung des Europäischen Gerichtshofes weder erschöpfend geklärt, noch kann er in seinen einzelnen, für die Beurteilung eines im Verfahren vorgetragenen Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DS-GVO bestimmt werden (BVerfG, Beschluss vom 14.01.2021 - 1 BvR 2853/19, juris Rn. 20).

Umstritten ist insoweit die Frage, ob im Hinblick auf einen immateriellen Schaden eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss, ob der bloße Datenverlust an sich oder ein ungutes Gefühl ein ausreichender Schaden ist und sogenannte Bagatellschäden auszuschließen sind (so etwa OLG Dresden, Urteil vom 20.08.2020 - 4 U 784/20, juris Rn. 32; vgl. auch LG Saarbrücken, EuGH-Vorlage vom 22.11.2021 - 5 O 151/19, juris Rn. 51 ff.).

Nach dem Wortlaut von Art. 82 Abs. 1 DS-GVO setzt die Zuerkennung eines Anspruchs wegen immaterieller Schäden nicht voraus, dass eine gewisse Erheblichkeitsschwelle erreicht oder überschritten ist. Die Norm enthält - wie auch die DS-GVO im Übrigen und die ihr vorangestellten Erwägungsgründe - keinen Hinweis darauf, dass geringfügige Schäden im Sinne von Bagatellschäden nicht auszugleichen wären (OLG Koblenz, Urteil vom 18.05.2022 - 5 U 2141/21, juris Rn. 75; OLG Frankfurt, Urteil vom 02.03.2022 - 13 U 206/20, juris Rn. 72; vgl. auch BVerfG, Beschluss vom 14.01.2021 - 1 BvR 2853/19, juris Rn. 21).

Eine derartige Beschränkung des Anspruchs ist nach Auffassung des Senats auch nicht angezeigt. Nach Erwägungsgrund 146 S. 3 zur DS-GVO soll der Schaden "im Lichte der Rechtsprechung des Gerichtshofs weit und auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht", was bereits gegen das Erfordernis einer besonderen Erheblichkeit des immateriellen Schadens spricht. Auch nach Erwägungsgrund 148 S. 3 zur DS-GVO, der sich mit der Möglichkeit der Verhängung von Geldbußen bei Verstößen gegen die Vorschriften der DS-GVO durch die Aufsichtsbehörden befasst, soll die Möglichkeit bestehen, in Fällen geringfügiger Verstöße anstelle einer Geldbuße eine Verwarnung zu erteilen. Dies spricht dafür, einen Anspruch gemäß Art. 82 Abs. 1 DS-GVO nicht vom Erreichen oder Überschreiten einer Erheblichkeitsschwelle abhängig zu machen. Soweit tatsächlich nur ein geringfügiger immaterieller Schaden eingetreten sein sollte, ist dieser Umstand vielmehr bei der konkreten Bemessung der Entschädigung zu berücksichtigen und nicht bei der Frage, ob eine Bagatellgrenze überschritten ist (OLG Koblenz, Urteil vom 18.05.2022 - 5 U 2141/21, juris Rn. 75).

Der Begriff des Schadens in Art. 82 Abs. 1 DS-GVO ist ein europarechtlicher Begriff und damit autonom auszulegen. Soweit im deutschen Recht etwa ein immaterieller Schadenersatz nur bei schwerwiegender Persönlichkeitsrechtsverletzung zugesprochen wird, was auch der ausdrücklichen Regelung im zwischenzeitlich aufgehobenen § 8 Abs. 2 BDSG in der Fassung vom 14.01.2003 entsprach, kann dies bei einem Anspruch aus Art. 82 DS-GVO einen Ausschluss vermeintlicher Bagatellschäden nicht rechtfertigen (vgl. OLG Koblenz, Urteil vom 18.05.2022 - 5 U 2141/21, juris Rn. 77; OLG Frankfurt, Urteil vom 14.04.2022 - 3 U 21/20, juris Rn. 44; LG Karlsruhe, Urteil vom 02.08.2019 - 8 O 26/19, juris Rn. 19; Bergt, in: Kühling/Buchner, DS-GVO, BDSG, 3. Auflage 2020, Art. 82 DS-GVO Rn. 18a).

Nach dem Gedanken von Art. 4 Abs. 3 EUV sind die Mitgliedstaaten der Europäischen Union und damit auch ihre Gerichte verpflichtet, dem europäischen Recht und damit auch der DS-GVO effektiv Wirkung zu verschaffen. Angesichts der in Erwägungsgrund 146 S. 3 zur DS-GVO geforderten weiten Auslegung ist der Senat daher der Auffassung, dass bereits in einem unguten Gefühl der Ungewissheit, ob personenbezogene Daten Unbefugten bekannt geworden sind, ein erlittener immaterieller Schaden zu sehen sein kann. Erst recht liegt ein solcher vor, wenn ein den Betroffenen belastender rechtswidriger Kontrollverlust seiner personenbezogenen Daten eingetreten ist und sich zum Beispiel bereits in einer missbräuchlichen Verwendung der Daten realisiert hat.

Dafür sprechen auch die beispielhaften Aufzählungen im Erwägungsgrund 75 zur DS-GVO sowie die Ausführungen im Erwägungsgrund 85 Satz 1 zu dieser Verordnung, nach der eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen kann, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte etc. Hiernach reicht insbesondere ein Kontrollverlust der eigenen personenbezogenen Daten für die Annahme eines eingetretenen immateriellen Schadens aus (vgl. OLG Düsseldorf, Urteil vom 28.10.2021 - 16 U 275/20, juris Rn. 51; Bergt, in: Kühling/Buchner, DS-GVO, BDSG, 3. Auflage 2020, Art. 82 DS-GVO Rn. 18b; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS-GVO Rn. 24).

cc) Ein derartiger immaterieller Schaden ist daher grundsätzlich auszugleichen, mag er auch im Einzelfall nur zu einer geringfügigen Beeinträchtigung geführt haben. Den Eintritt eines Schadens hingegen von einer gewissen Erheblichkeit abhängig zu machen, die etwa dann vorliegen könnte, wenn es bereits zu einer öffentlichen Bloßstellung infolge der rechtswidrigen Offenbarung von personenbezogenen Daten gekommen ist, nicht aber schon dann, wenn es durch einen schuldhaften Verstoß gegen die Bestimmungen der DS-GVO über diesen Verstoß hinaus nur zu einer Verärgerung des Betroffenen oder einem sonstigen Gefühlsschaden gekommen ist, würde hingegen eine Verkennung des autonom auszulegenden Merkmals des Schadens im Sinne von Art. 82 Abs. 1 DS-GVO bedeuten (OLG Koblenz, Urteil vom 18.05.2022 - 5 U 2141/21, juris Rn. 81). Für die Frage, ob ein Anspruch dem Grunde nach entstanden ist, kann die Frage nach der Erheblichkeit der Beeinträchtigung letztlich keine Rolle spielen; sie ist vielmehr bei der Frage der konkreten Höhe des Anspruchs zu berücksichtigen, da erst hier die konkret eingetretene immaterielle Beeinträchtigung und das notwendige Schutzniveau der betroffenen Daten zum Tragen kommen.

Der Genugtuungsfunktion des Ersatzanspruchs wegen immaterieller Schäden kommt dann ergänzende Bedeutung zu, sofern es zu einer tatsächlichen Beeinträchtigung der Schutzgüter der DS-GVO im Verhältnis zu Dritten im Sinne einer Verwendung der pflichtwidrig verarbeiteten personenbezogenen Daten gegenüber Dritten gekommen ist. Denn in diesem Fall geht es nicht mehr nur um die bloße Sorge vor den Folgen eines Datenschutzverstoßes; vielmehr hat sich das in dem Datenschutzverstoß liegende Risiko hier bereits verwirklicht, was im Rahmen der konkreten Bestimmung des Ersatzanspruchs für dessen Höhe von Bedeutung ist (OLG Koblenz, Urteil vom 18.05.2022 - 5 U 2141/21, juris Rn. 82).

Auch muss die generalpräventive Wirkung des immateriellen Schadensersatzanspruchs in den Blick genommen werden. Im Hinblick auf Gegenstand und Ziele der DS-GVO, wie sie in Art. 1 DS-GVO geregelt sind, ist es daher geboten, auch kleinere Verstöße ohne Anerkennung einer sogenannten Bagatellgrenze zu sanktionieren. In diesem Falle ist nämlich auch eine weniger einschneidende Sanktion in Form der Zuerkennung einer überschaubaren Geldentschädigung für den Anspruchsverpflichteten spürbar und damit auch effektiv, da sie letztlich einen Anreiz schafft, für ein ausreichendes Schutzniveau zu sorgen, um eine Realisierung des Risikos der Leistung von Schadensersatzzahlungen von vornherein auszuschließen oder jedenfalls gering zu halten (OLG Koblenz, Urteil vom 18.05.2022 - 5 U 2141/21, juris Rn. 83).

Auch vor diesem Hintergrund besteht aus Sicht des Senats keine Veranlassung, die Entstehung eines Anspruchs dem Grunde nach vom Erreichen bzw. Überschreiten einer Erheblichkeitsschwelle abhängig zu machen.

dd) Der Eintritt eines Schadens setzt auch nicht voraus, dass dem Betroffenen durch den Verstoß gegen die DS-GVO ein spürbarer Nachteil entstanden ist oder es zu einer objektiv nachvollziehbaren Beeinträchtigung von persönlichkeitsbezogenen Belangen mit gewissem Gewicht gekommen ist. Insoweit wird vertreten, dass für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für eine bloß individuell empfundene Unannehmlichkeit kein Schmerzensgeld zu gewähren sei (LG Essen, Urteil vom 23.09.2021 - 6 O 190/21, juris Rn. 53; AG Diez, Urteil vom 07.11.2018 - 8 C 130/18, juris Rn. 6; Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/BDSG, Stand: August 2022, Art. 82 DS-GVO Rn. 5 und 11a - hier: eine unwillkommene Mail konnte vom Betroffenen ohne großen Aufwand gelöscht werden). Auch wird vertreten, ein Schadenersatzanspruch bestehe nicht bei bloßen Bagatellschäden, die vorliegen sollen bei der Verbreitung von Name, Geburtsdatum, Geschlecht, E-Mail-Adresse und Telefonnummer einer Person (LG Karlsruhe, Urteil vom 09.02.2021 - 4 O 67/20, juris Rn. 38; Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/BDSG, Stand: August 2022, Art. 82 DS-GVO Rn. 14a).

Nach Überzeugung des Senats findet eine derartige Einschränkung des Anspruchs in der DS-GVO keine Grundlage und ist auch aus sonstigen Gründen nicht geboten. Es handelt sich auch hierbei letztlich ebenfalls um eine Erheblichkeitsschwelle, die weder in der DS-GVO noch in der Rechtsprechung des EuGH eine Stütze findet (vgl. Buchner/Wessels, in ZD 2022, 251 (254)).

ee) Ausgehend von dem vorstehend beschriebenen Begriff des immateriellen Schadens ist dem Kläger im vorliegenden Fall ein solcher dadurch entstanden, dass die in der Excel-Datei enthaltenen personenbezogenen Daten des Klägers offenbart wurden und der Kläger die Kontrolle über diese gegenüber Dritten offenbarten Daten verloren hat. Zu Recht macht der Kläger den ihn belastenden Kontrollverlust bezüglich seiner Daten geltend, was als Schaden zu bewerten ist.

Zudem ist ein immaterieller Schaden im Erhalt der unerwünschten E-Mail vom 18.08.2021 zu sehen. Der Kläger hat insoweit vorgetragen, er habe am 18.08.2021 eine E-Mail einer sogenannten Europäischen Zentrale für Verbraucherschutz erhalten. Dies hat die Beklagte zwar mit Nichtwissen bestritten, jedoch zugleich vorgetragen, dass dies nicht unwahrscheinlich erscheine, da auch andere von der Datenpanne Betroffene gegenüber der Beklagten den Erhalt einer inhaltsgleichen E-Mail berichtet hätten. Nachdem der Kläger einen Ausdruck der E-Mail vom 18.08.2021 vorgelegt (Blatt 15 der LG-Akte) und den Erhalt der E-Mail auch im Senatstermin bestätigt hat, ist der Senat davon überzeugt, dass der Kläger tatsächlich diese E-Mail erhalten hat.

Soweit der Kläger weiter geltend macht, bei der E-Mail vom 18.08.2021 habe es sich um eine Phishing-Mail gehandelt, mit der weitere Daten des Klägers "abgegriffen" oder sein PC "gehackt" hätte werden sollen, begründet dies jedoch keinen weitergehenden Schaden. Es ist schon nicht erkennbar, dass es tatsächlich zu einem weiteren Abfluss von Daten des Klägers gekommen ist oder sein PC tatsächlich gehackt wurde. Auch soweit der Kläger mit seinem Vorbringen offenbar geltend machen will, er könne Gefahren durch "militante Impfgegner" ausgesetzt sein, zumal die Befürwortung der Corona-Impfung und der vollständige Name des Klägers und seine Anschrift unter anderem auch Kriminellen bekannt geworden seien, vermag dieses rein spekulative Vorbringen nicht die Annahme eines weitergehenden Schadens zu rechtfertigen. Es dokumentiert allenfalls die mit dem Kontrollverlust verbundene Belastung des Klägers, aber keine darüber hinausgehende immaterielle Schadenssituation.

g) Der vom Kläger geltend gemachte immaterielle Schaden ist eine kausale Folge des Verstoßes gegen die DS-GVO.

Nach dem Wortlaut von Art. 82 Abs. 1 DS-GVO ("wegen") ist ein Kausalzusammenhang zwischen der Verletzungshandlung bzw. dem Verstoß gegen die DS-GVO und dem geltend gemachten Schaden erforderlich (OLG Stuttgart, Urteil vom 31.03.2021 - 9 U 34/21, juris Rn. 60 ff.), wobei eine Mitursächlichkeit ausreichend ist.

aa) Der Kontrollverlust des Klägers hinsichtlich seiner in der Excel-Datei enthaltenden personenbezogenen Daten ist eine kausale Folge des der Beklagten anzulastenden Verstoßes gegen die DS-GVO.

Denn erst durch den Versand der E-Mail nebst Excel-Datei und der damit verbundenen Offenbarung der personenbezogenen Daten des Klägers verlor dieser die Kontrolle über die offenbarten Daten.

Dem stehen entgegen der Auffassung der Beklagten auch nicht die Aktivitäten des Klägers in sogenannten sozialen Netzwerken oder Messengerdiensten entgegen.

Zu Unrecht meint die Beklagte, aufgrund der Nutzung von Messengerdienst02 durch den Kläger sei dessen Mobilfunknummer bekannt geworden. Es ist allgemein bekannt und von der Beklagten nach dem diesbezüglichen Vortrag des Klägers auch nicht mehr in Abrede gestellt worden, dass die Informationen zu einem Nutzer des Messengerdienstes Messengerdienst02 nur für Personen sichtbar sind, die auch die entsprechende Telefonnummer kennen und in dem Dienst verwenden, mit der die Person bei dem Dienst registriert ist.

Die Aktivitäten des Klägers auf seinem Profil bei Facebook stehen der Annahme eines Kausalzusammenhangs ebenfalls nicht entgegen. Aus den zu den Veröffentlichungen des Klägers vorgelegten Unterlagen ergibt sich lediglich, dass dieser die Impfung befürwortet, mit Posts von Anfang August 2021 (Blatt 227 f. und 229 f. der OLG-Akte) eine gerade erfolgte Impfung bekannt gegeben und mit weiterem Post aus dem Januar 2022 (Blatt 94 der LG-Akte) auf seine "Boosterung" hingewiesen hat. Zudem waren auf Facebook vor dem in Frage stehenden Datenschutzverstoß am 00.00.2021 Vorname und Name des Klägers und sein Geburtstag am 24. Mai (ohne Angabe des Geburtsjahres) veröffentlicht (Blatt 95 der LG-Akte). Diese Facebook-Informationen sind nur für solche Personen einzusehen, die zunächst das Profil des Klägers aufgefunden haben, wozu es entweder erforderlich ist, den Namen oder Namensbestandteile des Klägers zu kennen oder aber - mehr oder weniger zufällig - einen mit einer Reaktion versehenen Post des Klägers zur Kenntnis zu nehmen.

Im Gegensatz dazu enthält die offenbarte Excel-Datei umfassendere Informationen zur Person des Klägers, neben seinem Vornamen, Namen und seinem Geburtstag einschließlich Geburtsjahr namentlich seine Anschrift, E-Mail-Adresse und Mobilfunknummer sowie darüber hinaus noch Angaben zum Datum der Zweitimpfung und zum vorgesehenen Impfstoff. Mit diesen so zusammengestellten Angaben zur Person des Klägers ist dieser unschwer sicher zu identifizieren und unter anderem auch in sozialen Netzwerken leicht ausfindig zu machen. Auch hat der Kläger keine Möglichkeit, eine etwaige Verbreitung dieser Daten zu verhindern. Vor diesem Hintergrund ist der eingetretene Kontrollverlust auch angesichts des eigenen Verhaltens Klägers gleichwohl auf den Verstoß der Beklagten zurückzuführen.

Dass der Kläger darüber hinaus auch auf Messengerdienst01 weitergehende personenbezogenen Daten bekannt gemacht hat, ist von der Beklagten nicht konkret vorgetragen und ergibt sich auch nicht aus dem insoweit vorgelegten Screenshot (Blatt 96 der LG-Akte).

bb) Im Hinblick auf die E-Mail vom 18.08.2021 ist davon auszugehen, dass diese eine kausale Folge der Offenbarung der personenbezogenen Daten des Klägers einschließlich seiner E-Mail-Adresse ist.

In der E-Mail, in der der Kläger mit vollem Namen angesprochen wird, wird ausdrücklich auf eine "Datenpanne" in dem von der Beklagten betriebenen Impfzentrum Bezug genommen und angegeben, dass von daher die Daten des Klägers stammen würden. Aufgrund des zeitlichen Zusammenhangs zur Offenbarung der in der Excel-Datei enthaltenen Daten am 00.00.2021 ist der Senat nach der Anhörung der Parteien im Senatstermin davon überzeugt, dass dem Absender oder den Absendern dieser E-Mail Name und E-Mail-Adresse des Klägers aufgrund der offenbarten Excel-Datei bekannt waren. Zwar wäre grundsätzlich auch denkbar, dass der oder die Absender der E-Mail diese Informationen auf anderem Wege erlangt haben könnten. Hierfür gibt es aber keinen Anhaltspunkt. Zudem wäre dann nicht zu erklären, warum in der E-Mail gerade auf die "Datenpanne" im von der Beklagten betriebenen Impfzentrum Bezug genommen werden sollte. Es ist daher davon auszugehen, dass nur durch den Versand der Excel-Datei der oder die Absender dieser E-Mail Kenntnis vom Namen und der E-Mail-Adresse des Klägers haben konnten. Dass die maßgeblichen Daten aufgrund der Aktivitäten des Klägers in sozialen Netzwerken Dritten bekannt geworden sind, ist nicht erkennbar und es ist auch nicht hinreichend dargetan, dass der Kläger auf diesem Wege seine E-Mail-Adresse und Telefonnummer offenbart hat.

h) Soweit das Landgericht den dem Kläger zum Ausgleich des ihm entstandenen immateriellen Schadens zustehenden Betrag mit 100,00 Euro bemessen hat, ist hiergegen aus Sicht des Senats nichts zu erinnern.

Ausgehend von dem bereits dargestellten Schadensbegriff gelten bei der Bemessung der Schadenshöhe die im Rahmen von § 253 BGB entwickelten Grundsätze; der Schaden ist nach § 287 ZPO zu schätzen (OLG Koblenz, Urteil vom 18.05.2022 - 5 U 2141/21, juris Rn. 81). Hierbei ist der Erwägungsgrund 146 S. 3 und 6 zur DS-GVO zu berücksichtigen, wonach der Begriff des Schadens auf eine Art und Weise auszulegen ist, die den Zielen der Verordnung in vollem Umfang entspricht und die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten sollen. Ergänzend können auch in Art. 83 Abs. 2 DS-GVO genannte Kriterien herangezogen werden, obwohl diese Vorschrift nicht die Geltendmachung individueller Entschädigungsansprüche sondern die Verhängung von Geldbußen betrifft; dies gilt insbesondere für Art, Schwere und Dauer des Verstoßes unter Berücksichtigung von Art, Umfang oder Zweck der betreffenden Verarbeitung, den Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorie der betroffenen personenbezogenen Daten (vgl. OLG Düsseldorf, Urteil vom 28.10.2021 - 16 U 275/20, juris Rn. 55 f.; OLG Frankfurt, Urteil vom 14.04.2022 - 3 U 21/20, juris Rn. 56; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS-GVO Rn. 31).

aa) Zunächst ist zu berücksichtigen, dass die in der Excel-Datei enthaltenen personenbezogenen Daten des Klägers, nämlich vollständiger Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse sowie der für die Impfung vorgesehene Impfstoff und das Datum der Impfung sowie Angaben zur Anzahl der Impfungen in ihrer Gesamtheit ein Datenbündel darstellen, welches problemlos die Identifizierung des Klägers ermöglicht. Auch sind hier nicht lediglich personenbezogene Daten des Klägers im Sinne von Art. 4 Nr. 1 DS-GVO betroffen, sondern auch Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DS-GVO, welche grundsätzlich besonders sensibel sind, wie auch Art. 9 DS-GVO deutlich macht.

Weiter ist in den Blick zu nehmen, dass die Excel-Datei an eine Vielzahl von Personen übersandt wurde. Insoweit hat die Beklagte im Senatstermin klargestellt, dass der Versand an insgesamt 1.200 Personen erfolgte, wobei allerdings ein unmittelbar nach dem Versand erfolgter Rückruf der E-Mail in 500 Fällen Erfolg hatte. Damit haben 700 Personen die Datei erhalten und konnten deren Inhalt auch zur Kenntnis nehmen, da die Datei nicht vor einem einfachen Zugriff geschützt war. Auch ist zu berücksichtigen, dass dieser Versand und damit die Offenbarung der Daten nicht mehr rückgängig zu machen ist. Denn der Kläger hatte bzw. hat keine Möglichkeit, eine etwaige Weitergabe der Daten effektiv zu verhindern oder auch nur zu kontrollieren. Trotz des von der Beklagten unternommenen Versuches, die Empfänger der E-Mail zur Löschung der Datei zu veranlassen, kann eine Weitergabe dieser Dateien an Dritte nicht ausgeschlossen werden.

Damit besteht für den Kläger das Risiko des Erhalts unerwünschter Werbung insbesondere per E-Mail oder von Phishing-E-Mails mit dem Ziel, auf diese Art weitere Informationen vom Kläger zu erlangen. Auch die Möglichkeit eines Identitätsdiebstahls ist ebenso in Betracht zu ziehen wie die Auslösung kostenpflichtiger Bestellungen durch Dritte unter Verwendung der personenbezogenen Daten des Klägers.

Es ist aber auch zu beachten, dass es sich bei den offenbarten personenbezogenen Daten des Klägers im Sinne von Art. 4 Nr. 1 DS-GVO lediglich um solche Daten handelt, welche der Sozialsphäre des Klägers zuzuordnen sind. Die Sozialsphäre betrifft den Bereich, in dem sich die persönliche Entfaltung von vornherein im Kontakt mit der Umwelt vollzieht, also insbesondere das berufliche und politische Wirken des Individuums. Demgegenüber umfasst die Privatsphäre sowohl in räumlicher als auch in thematischer Hinsicht den Bereich, zu dem andere grundsätzlich nur Zugang haben, soweit er ihnen gestattet wird. Dies betrifft in thematischer Hinsicht Angelegenheiten, die wegen ihres Informationsinhalts typischerweise als "privat" eingestuft werden, etwa weil ihre öffentliche Erörterung als unschicklich gilt, das Bekanntwerden als peinlich empfunden wird oder nachteilige Reaktionen in der Umwelt auslöst (BGH, Urteil vom 20.12.2011 - VI ZR 261/10, juris Rn. 16). Nach dieser Maßgabe sind jedenfalls die personenbezogenen Daten des Klägers, die zur Beschreibung seiner Person dienen, der Sozialsphäre zuzuordnen. Demgegenüber waren von dem Verstoß nicht besonders sensible Daten wie etwa Bank- oder Steuerdaten, Zugangsdaten und Kennwörter oder ähnliche Daten betroffen. Soweit Gesundheitsdaten des Klägers im Sinne von Art. 4 Nr. 15 DS-GVO offenbart wurden, sind diese zwar der Privatsphäre zuzurechnen. Allerdings darf hier nicht außer Acht gelassen werden, dass insbesondere im Hinblick auf den weiten Begriff der Gesundheitsdaten auch hier deren konkreter Inhalt zu berücksichtigen ist. Aus den offenbarten Daten lässt sich allenfalls das Fehlen einer Kontraindikation in der Person des Klägers bezüglich einer zweiten Impfung nach erfolgter Erstimpfung ableiten, nicht aber konkrete Schlüsse auf eine Erkrankung des Klägers oder eine besondere gesundheitliche Disposition. Damit stellt sich die Offenbarung der Gesundheitsdaten hier als weit weniger schwerwiegend dar, als dies etwa bei der Offenbarung spezifischer Gesundheitsdaten wie eines medizinischen Befundes oder einer ärztlichen Diagnose der Fall wäre.

Weiter ist in den Blick zu nehmen, dass der vom Kläger beanstandete Versand der die personenbezogenen Daten des Klägers enthaltenden Datei von der Beklagten zu keinem Zeitpunkt bezweckt war. Denn im Zuge des Betriebs des Impfzentrums benötigte die Beklagte die Datei einmalig für kurze Zeit zum Zwecke der Organisation des Impfzentrums, namentlich um die von der Änderung der Öffnungszeiten betroffenen Personen hierüber zu informieren. Der Versand der Datei beruhte auf einem Versäumnis der handelnden Mitarbeiter im Zug des Versands der E-Mail an die von der Änderung der Öffnungszeiten betroffenen Personen, war aber zu keinem Zeitpunkt intendiert.

Auch ist zu berücksichtigen, dass die Beklagte mit dem Betrieb des Impfzentrums und den damit im Zusammenhang stehenden Tätigkeiten eine öffentliche Aufgabe wahrgenommen hat und insbesondere nicht mit der Absicht handelte, hierbei in irgendeiner Weise Gewinne zu erzielen. Auch der Versand der E-Mail vom 00.00.2021 stand in keinerlei Zusammenhang mit einer gewinnorientierten Tätigkeit.

Ferner ist der geringe Grad des Verschuldens auf Seiten der Beklagten zu berücksichtigen. Insoweit geht der Senat lediglich von einem fahrlässigen Verhalten der Mitarbeiter der Beklagten aus, welche die E-Mail abgesandt haben. Soweit der Kläger hier von einem vorsätzlichen Verstoß ausgeht, hat er schon nicht dargelegt, welche Umstände die Annahme von Vorsatz rechtfertigen sollten. Auch soweit der Kläger meint, es greife insoweit ein Beweis des ersten Anscheins ein, vermag der Senat dem nicht zu folgen. Die Beweiswürdigungsregel des Anscheinsbeweises ist nur bei regelmäßigen (typischen) Geschehensabläufen anwendbar, die nach der Lebenserfahrung auf eine bestimmte Ursache hinweisen (vgl. Laumen, in: Baumgärtel/Laumen/Prütting, Handbuch der Beweislast, 4. Auflage 2019, Kap. 17 Rn. 10). Es ist schon nicht erkennbar, welcher typischen Geschehensablauf hier aufgrund von Erfahrungssätzen den Schluss auf ein vorsätzliches Verhalten erlauben soll. Allein der Versand einer E-Mail mit einem zuvor nicht entfernten Anhang kann zur Überzeugung des Senats jedenfalls nicht die Annahme rechtfertigen, die Übersendung der angehängten Datei sei vorsätzlich erfolgt. Im Hinblick auf die Darstellung der Beklagten von den Abläufen, die zum Versand der E-Mail nebst angehängter Excel-Datei geführt haben und die der Kläger auch im Senatstermin nicht in Abrede gestellt hat, ist die Annahme vorsätzlichen Verhaltens fernliegend. Vielmehr ist davon auszugehen, dass den betroffenen Mitarbeitern der Beklagten und damit auch der Beklagten allenfalls Fahrlässigkeit vorgeworfen werden kann.

Weiter ist zu berücksichtigen, dass nicht ersichtlich ist, dass es bereits vor dem streitgegenständlichen Vorfall zu einem vergleichbaren Verstoß gekommen ist und sich dieser anlässlich des Versands der E-Mail vom 00.00.2021 wiederholt hätte.

Schließlich zu berücksichtigen, dass die Beklagte alles in ihrer Macht Stehende unternommen hat, um den infolge des Verstoßes aufgetretenen Schaden gering zu halten. So wurde unmittelbar nach dem Versand der Mail der Versuch des Rückrufs der E-Mail unternommen, was bei insgesamt 500 Adressaten auch erfolgreich war. Ferner hat die Beklagte auch die Empfänger der E-Mail aufgerufen, die Daten zu löschen. Darüber hinaus hat die Beklagte den Kläger - sowie alle anderen Betroffenen - bereits kurz nach dem Verstoß mit Schreiben vom 05.08.2021 über diesen und über die offenbarten Daten informiert. Nachdem die Beklagte zudem Kenntnis davon erlangt hatte, dass sich eine Europäische Zentrale für Verbraucherschutz per E-Mail an den Kläger und andere Betroffene gewandt hatte, kam es nach dem unbestrittenen Vorbringen der Beklagten auf deren Betreiben auch zu einem Abschalten der Internetseite Webseite01.

Darüber hinaus hat die Beklagte sich mit Schreiben vom 05.08.2021 beim Kläger entschuldigt und den Vorfall der Aufsichtsbehörde angezeigt.

bb) Die Tatsache, dass der Kläger auf Facebook als Befürworter der Impfung aufgetreten ist und sich aus dem Profil auch Tag und Monat seines Geburtsdatums ablesen lassen, ist für die Bemessung der dem Kläger zuzusprechenden immateriellen Entschädigung demgegenüber lediglich von untergeordneter Bedeutung. Dies insbesondere deshalb, da die so durch den Kläger offenbarten Daten lediglich einen kleinen Teil der infolge des der Beklagten zuzurechnenden Datenschutzverstoßes offenbarten Daten repräsentieren, damit auch nicht ohne weiteres eine Identifizierung der Person des Klägers ermöglichen und der Kläger zudem auch eine Kontrolle über diese Daten innehat, die er jederzeit löschen kann.

cc) Im Rahmen der Genugtuungsfunktion des Ersatzanspruchs wegen immaterieller Schäden ist die an den Kläger versandte E-Mail vom 18.08.2021 von Bedeutung. Denn insoweit geht es nicht mehr nur um die bloße Sorge des Klägers vor den Folgen eines Datenschutzverstoßes und des darauf beruhenden Kontrollverlusts; vielmehr hat sich das in dem Datenschutzverstoß liegende Risiko hier bereits verwirklicht. Allerdings ist zu sehen, dass es sich lediglich um eine E-Mail handelt. Weitere konkrete Beeinträchtigungen über den eingetreten Kontrollverlust hinaus, die sich als Folge der Offenbarung der personenbezogenen Daten des Klägers darstellen, hat der Kläger im Senatstermin am 09.12.2022 verneint, sie werden angesichts der seit dem Datenverstoß bereits verstrichenen Zeit auch zunehmend weniger wahrscheinlich. Soweit der Kläger mit seinem Hinweis auf militante Impfgegner auf eine von diesen ausgehende Gefahr körperlicher oder sonstiger Übergriffe aufgrund des Umstands hinweisen will, dass der Kläger selbst eine Impfung befürwortet, hat sich insoweit kein Anhaltspunkt für eine konkrete Beeinträchtigung aufgrund des Datenschutzverstoßes ergeben.

dd) Soweit der Kläger geltend macht, der vom Landgericht zuerkannte Betrag von 100,00 Euro sei eher symbolischer Natur und habe keinerlei Abschreckungseffekt, so vermag der Senat dem nicht beizutreten.

Im Hinblick auf Erwägungsgrund 146 S. 3 zur DS-GVO sollen Schadenersatzforderungen zwar abschrecken und weitere Verstöße unattraktiv gemacht werden (Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/BDSG, Stand: August 2022, Art. 82 DS-GVO Rn. 10b). Auch vermag sich ein Abschreckungseffekt vielleicht nicht aus dem dem Kläger zuerkannten Betrag ergeben. Allerdings ist hier in den Blick zu nehmen, dass der der Beklagten zuzurechnende Verstoß gegen die DS-GVO hier nicht lediglich den Kläger betrifft, sondern eine Vielzahl weiterer Personen, deren personenbezogene Daten ebenfalls in der übermittelten Excel-Datei enthalten waren. Insoweit gehen die Parteien übereinstimmend davon aus, dass die Datei Daten von insgesamt 13.000 Personen enthielt. Dieser Umstand bietet jedenfalls das Potenzial, das sich aus Ansprüchen vieler Betroffener ein durchaus messbarer finanzieller Schadensbetrag bei der Beklagten einstellt.

ee) Eine Erhöhung der Entschädigung ist auch nicht im Hinblick auf eine Sanktionswirkung der Entschädigung angezeigt.

Das für die konkrete Bemessung der Höhe maßgebliche deutsche Recht (vgl. Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Auflage 2018, Art. 82 Rn. 17) kennt - anders als die Rechtsordnungen anderer Staaten - keinen Strafschadensersatz. Eine wie auch immer geartete Sanktionswirkung neben dem Ausgleich eines konkret entstandenen immateriellen Schadens ist daher bei der Bemessung der dem Kläger zustehenden Entschädigung nicht in Betracht zu ziehen. Insoweit bestimmt Art. 83 DS-GVO, dass die zuständige Aufsichtsbehörde im Falle eines Verstoßes gegen die DS-GVO neben einem etwaigen individuellen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DS-GVO eine Geldbuße verhängen kann.

ff) Unter Beachtung der vorstehenden Erwägungen hält der Senat bei einer Gesamtbetrachtung des vorliegenden Falles und seiner Besonderheiten im Hinblick auf den eingetretenen dauerhaften Kontrollverlust und den Erhalt einer unerwünschten E-Mail den durch das Landgericht zuerkannten Betrag in Höhe von 100,00 Euro für angemessen, aber auch ausreichend, um den beim Kläger eingetretenen immateriellen Schaden nach Maßgabe des in der DS-GVO geregelten Schadensersatzanspruchs zu kompensieren.

2. Ein weitergehender Anspruch folgt auch nicht aus § 839 Abs. 1 S. 1 BGB in Verbindung mit Art. 34 S. 1 GG, der grundsätzlich neben einem Anspruch nach Art. 82 Abs. 1 DS-GVO in Betracht kommt.

a) Der Verstoß gegen die in Deutschland unmittelbar anwendbare DS-GVO stellt auch eine Amtspflichtverletzung dar, nämlich eine Verletzung der Pflicht zu gesetzmäßigem Handeln (vgl. Dörr, in: Gsell/Krüger/Lorenz/Reymann, BeckOGK, Stand 01.08.2022, § 839 BGB Rn. 142).

b) Ein Amtshaftungsanspruch wegen einer Verletzung des hier allein als verletztes Rechtsgut in Betracht kommenden Persönlichkeitsrechts kann auch die Zahlung einer Entschädigung in Geld für immaterielle Nachteile zum Inhalt haben. Eine derartige Geldentschädigung ist jedoch nur zu gewähren, wenn es sich um einen schwerwiegenden Eingriff in das Persönlichkeitsrecht handelt und die erlittene Beeinträchtigung sich nicht auf andere Weise befriedigend ausgleichen lässt. Ob eine schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, die die Zahlung einer Geldentschädigung erfordert, ist aufgrund der gesamten Umstände des Einzelfalles zu beurteilen und hängt insbesondere von der Bedeutung und der Tragweite des Eingriffs, ferner von Anlass und Beweggrund des Handelnden sowie von dem Grad seines Verschuldens ab (BGH, Urteil vom 23.10.2003 - III ZR 9/03, juris Rn. 44). Insoweit kommen letztlich dieselben Gesichtspunkte zum Tragen wie bei der Bemessung des Anspruchs nach Art. 82 Abs. 1 DS-GVO. Danach liegt eine schwerwiegende Persönlichkeitsverletzung allerdings nicht vor. Der einmalige Erhalt einer unerwünschten E-Mail sowie der eingetretene Kontrollverlust hinsichtlich personenbezogener Daten, die überwiegend der Sozialsphäre zuzuordnen sind und die - soweit es sich um Gesundheitsdaten handelt - jedenfalls keine hochsensiblen Informationen enthalten, rechtfertigen ohne das Hinzutreten weiterer konkreter Beeinträchtigungen nicht die Annahme einer schwerwiegenden Verletzung des Persönlichkeitsrechts des Klägers. Auch diesen Gesichtspunkt hat das Landgericht zutreffend beurteilt.

3. Der - mit der Berufung nicht angegriffene - Zinsanspruch folgt aus §§ 288 Abs. 1 S. 1 und 2, 286 Abs. 1 S. 1 BGB.

4. Die Beklagte schuldet dem Kläger nicht den Ersatz der verlangten vorgerichtlichen Rechtsanwaltskosten.

a) Die Voraussetzungen des vom Kläger im Wege gewillkürter Prozessstandschaft geltend gemachten Anspruchs seiner Rechtsschutzversicherung kann der Senat nicht feststellen.

Von Seiten der Rechtsschutzversicherung auf die Rechtsanwaltskosten geleistete Zahlungen, die den Anspruchsübergang gemäß § 86 VVG bewirkt hätten, hat die Beklagte in erster und zweiter Instanz bestritten. Sie sind vom Kläger weder näher dargetan noch unter Beweis gestellt worden, worauf von Seiten des Senats nicht hinzuweisen war, weil es sich um eine Nebenforderung handelt, § 139 Abs. 2 S. 1 ZPO. Eine bereits geleistete Zahlung ist insbesondere nicht dem Schreiben der C Rechtsschutzversicherung AG vom 20.10.2021 zu entnehmen, mit dem der Kläger seine Ermächtigung zum Geltendmachen des Erstattungsanspruchs belegen will.

Hinzu kommt, dass vorgerichtliche Rechtsanwaltskosten nur nach dem Streitwert von 100,00 Euro und damit in Höhe von 90,96 Euro (63,70 Euro 1,3-fache Geschäftsgebühr, zuzüglich 12,74 Euro Auslagenpauschale, zuzüglich 14,52 Euro 19 Prozent Umsatzsteuer) erstattungsfähig gewesen wären. Sie überstiegen somit den im Schreiben der C Rechtsschutzversicherung AG vom 20.10.2021 genannten Selbstbehalt von 150,00 Euro nicht, so dass der Kläger seine Rechtsschutzversicherung im Ergebnis auch nicht erfolgreich in Anspruch nehmen könnte.

b) Ob dem Kläger hier ein eigener Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten zusteht, kann der Senat offenlassen, weil der Kläger einen derartigen eigenen Anspruch nicht geltend macht.

III.

Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO in Verbindung mit § 92 Abs. 2 Nr. 1 ZPO analog. Werden - wie hier - wechselseitige Berufungen eingelegt und sind beide erfolglos, so ist im Interesse des Grundsatzes der einheitlichen Kostenentscheidung § 97 Abs. 1 ZPO durch § 92 ZPO zu ergänzen (Schulz, in: Münchener Kommentar zur ZPO, 6. Auflage 2020, § 97 Rn. 11; Jaspersen, in: Vorwerk/Wolf, BeckOK ZPO, 47. Edition, Stand 01.12.2022, § 97 Rn. 15). Nachdem die Berufungsbeschwer der Beklagten im Vergleich zum Streitwert des Verfahrens verhältnismäßig geringfügig war und auch keine höheren Kosten veranlasst hat, waren die Kosten insgesamt dem Kläger aufzuerlegen.

Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711 ZPO.

IV.

Die Revision ist zuzulassen, da bislang eine höchstrichterliche Klärung der für den vorliegenden Fall der Geltendmachung eines Anspruchs auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO maßgeblichen Fragen - soweit ersichtlich - noch nicht erfolgt ist. Dies gilt insbesondere für die Möglichkeit einer Exkulpation entsprechend § 831 Abs. 1 S. 2 BGB, den Begriff des Schadens mit der Frage einer gewissen Erheblichkeit des eingetreten Schadens als Voraussetzung für einen Ersatzanspruch sowie die konkrete Bemessung dieses Anspruchs.

Im Hinblick auf die gebotene europarechtliche Klärung der maßgeblichen Rechtsfragen hat der Senat die Vorlage der für den vorliegenden Fall maßgeblichen Fragen zur Vorabentscheidung an den Europäischen Gerichtshof gemäß Art. 267 AEUV erwogen, sich aber gleichwohl für die Zulassung der Revision entschieden. Bei dem Europäischen Gerichtshof sind bereits mehrere Vorabentscheidungsverfahren anhängig, die auch die im vorliegenden Fall maßgeblichen Fragen betreffen, worauf auch die Beklagte mit der Berufungsbegründung hingewiesen hat. Zudem handelt es sich bei der zugelassenen Revision um ein Rechtsmittel des innerstaatlichen Rechts im Sinne von Art. 267 AEUV, so dass keine Pflicht zur Vorlage an den Europäischen Gerichtshof besteht (vgl. OLG Brandenburg, Beschluss vom 11.08.2021 - 1 U 69/20, juris Rn. 5).

Die Voraussetzungen eines Anspruchs auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO und das Verständnis der Vorschrift im Übrigen ergeben sich weder aus den Bestimmungen der DS-GVO noch sind diese Fragen höchstrichterlich geklärt (vgl. BVerfG, Beschluss vom 14.01.2021 - 1 BvR 2853/19, juris Rn. 20). Daher erscheint es dem Senat sachgerecht, zunächst dem Bundesgerichtshof Gelegenheit zu geben, sich mit den maßgeblichen Rechtsfragen zu befassen und über eine Vorlage einzelner Fragen an den Europäischen Gerichtshof zu befinden.

Urteilsbesprechung zu {{shorttitle}}
{{count_recursive}} Urteilsbesprechungen zu {{shorttitle}}

1 Lawyers


Wirtschaftsrecht / Existenzgründung / Insolvenzrecht / Gesellschaftsrecht / Strafrecht
Languages
EN, DE
{{count_recursive}} Anwälte, die Artikel geschrieben haben, die diesen Urteil erwähnen
{{count_recursive}} Veröffentlichung(en) in unserer Datenbank zitieren {{Doctitle}}.
{{count_recursive}} Veröffentlichung(en) in unserer Datenbank zitieren {{Doctitle}}.

14/02/2023 13:57

Die versehentliche Weiterleitung personenbezogener Daten begründet einen Schadensersatzanspruch iHv. 100 Euro.

moreResultsText


Lastenausgleichsgesetz - LAG

Für vorläufig vollstreckbar ohne Sicherheitsleistung sind zu erklären:1.Urteile, die auf Grund eines Anerkenntnisses oder eines Verzichts ergehen;2.Versäumnisurteile und Urteile nach Lage der Akten gegen die säumige Partei gemäß § 331a;3.Urteile, dur
{{title}} zitiert {{count_recursive}} §§.

Lastenausgleichsgesetz - LAG

Für vorläufig vollstreckbar ohne Sicherheitsleistung sind zu erklären:1.Urteile, die auf Grund eines Anerkenntnisses oder eines Verzichts ergehen;2.Versäumnisurteile und Urteile nach Lage der Akten gegen die säumige Partei gemäß § 331a;3.Urteile, dur
6 Referenzen - Urteile

moreResultsText

{{Doctitle}} zitiert oder wird zitiert von {{count_recursive}} Urteil(en).

published on 14/02/2023 14:15

Das Ansicht des Oberlandesgericht Hamm (OLG Hamm) begründet die versehentliche Weiterleitung personenbezogener Daten einen Schadensersatzanspruch gegen die:den Verantwortliche:n. Die im vorliegenden Fall verantwortliche Impfzentruminhaberin muss
published on 20/12/2011 00:00

BUNDESGERICHTSHOF IM NAMEN DES VOLKES URTEIL VI ZR 261/10 Verkündet am: 20. Dezember 2011 Holmes Justizangestellte als Urkundsbeamtin der Geschäftsstelle in dem Rechtsstreit Nachschlagewerk: ja BGHZ: nein BGHR:
published on 23/10/2003 00:00

BUNDESGERICHTSHOF IM NAMEN DES VOLKES URTEIL III ZR 9/03 Verkündet am: 23. Oktober 2003 F r e i t a g Justizamtsinspektor als Urkundsbeamter der Geschäftsstelle in dem Rechtsstreit Nachschlagewerk: ja BGHZ: nein BGHR: ja a) BGB § 839 (
published on 06/06/2019 00:00

BUNDESGERICHTSHOF IM NAMEN DES VOLKES URTEIL III ZR 124/18 Verkündet am: 6. Juni 2019 K i e f e r Justizangestellter als Urkundsbeamter der Geschäftsstelle in dem Rechtsstreit Nachschlagewerk: ja BGHZ: nein BGHR: ja GG Art. 34 Satz 1;
{{Doctitle}} zitiert {{count_recursive}} Urteil(e) aus unserer Datenbank.
published on 14/02/2023 14:15

Das Ansicht des Oberlandesgericht Hamm (OLG Hamm) begründet die versehentliche Weiterleitung personenbezogener Daten einen Schadensersatzanspruch gegen die:den Verantwortliche:n. Die im vorliegenden Fall verantwortliche Impfzentruminhaberin muss
{{count_recursive}} Urteil(e) in unserer Datenbank zitieren {{Doctitle}}.

Annotations

(1) Verletzt ein Beamter vorsätzlich oder fahrlässig die ihm einem Dritten gegenüber obliegende Amtspflicht, so hat er dem Dritten den daraus entstehenden Schaden zu ersetzen. Fällt dem Beamten nur Fahrlässigkeit zur Last, so kann er nur dann in Anspruch genommen werden, wenn der Verletzte nicht auf andere Weise Ersatz zu erlangen vermag.

(2) Verletzt ein Beamter bei dem Urteil in einer Rechtssache seine Amtspflicht, so ist er für den daraus entstehenden Schaden nur dann verantwortlich, wenn die Pflichtverletzung in einer Straftat besteht. Auf eine pflichtwidrige Verweigerung oder Verzögerung der Ausübung des Amts findet diese Vorschrift keine Anwendung.

(3) Die Ersatzpflicht tritt nicht ein, wenn der Verletzte vorsätzlich oder fahrlässig unterlassen hat, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.

(2) Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.

(1) Wer einen anderen zu einer Verrichtung bestellt, ist zum Ersatz des Schadens verpflichtet, den der andere in Ausführung der Verrichtung einem Dritten widerrechtlich zufügt. Die Ersatzpflicht tritt nicht ein, wenn der Geschäftsherr bei der Auswahl der bestellten Person und, sofern er Vorrichtungen oder Gerätschaften zu beschaffen oder die Ausführung der Verrichtung zu leiten hat, bei der Beschaffung oder der Leitung die im Verkehr erforderliche Sorgfalt beobachtet oder wenn der Schaden auch bei Anwendung dieser Sorgfalt entstanden sein würde.

(2) Die gleiche Verantwortlichkeit trifft denjenigen, welcher für den Geschäftsherrn die Besorgung eines der im Absatz 1 Satz 2 bezeichneten Geschäfte durch Vertrag übernimmt.

(1) Das Gericht kann, wenn die Entscheidung des Rechtsstreits ganz oder zum Teil von dem Bestehen oder Nichtbestehen eines Rechtsverhältnisses abhängt, das den Gegenstand eines anderen anhängigen Rechtsstreits bildet oder von einer Verwaltungsbehörde festzustellen ist, anordnen, dass die Verhandlung bis zur Erledigung des anderen Rechtsstreits oder bis zur Entscheidung der Verwaltungsbehörde auszusetzen sei.

(2) Das Gericht kann ferner, wenn die Entscheidung des Rechtsstreits von Feststellungszielen abhängt, die den Gegenstand eines anhängigen Musterfeststellungsverfahrens bilden, auf Antrag des Klägers, der nicht Verbraucher ist, anordnen, dass die Verhandlung bis zur Erledigung des Musterfeststellungsverfahrens auszusetzen sei.

(1) Verletzt ein Beamter vorsätzlich oder fahrlässig die ihm einem Dritten gegenüber obliegende Amtspflicht, so hat er dem Dritten den daraus entstehenden Schaden zu ersetzen. Fällt dem Beamten nur Fahrlässigkeit zur Last, so kann er nur dann in Anspruch genommen werden, wenn der Verletzte nicht auf andere Weise Ersatz zu erlangen vermag.

(2) Verletzt ein Beamter bei dem Urteil in einer Rechtssache seine Amtspflicht, so ist er für den daraus entstehenden Schaden nur dann verantwortlich, wenn die Pflichtverletzung in einer Straftat besteht. Auf eine pflichtwidrige Verweigerung oder Verzögerung der Ausübung des Amts findet diese Vorschrift keine Anwendung.

(3) Die Ersatzpflicht tritt nicht ein, wenn der Verletzte vorsätzlich oder fahrlässig unterlassen hat, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.

Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Bei Vorsatz oder grober Fahrlässigkeit bleibt der Rückgriff vorbehalten. Für den Anspruch auf Schadensersatz und für den Rückgriff darf der ordentliche Rechtsweg nicht ausgeschlossen werden.

(1) Wer einen anderen zu einer Verrichtung bestellt, ist zum Ersatz des Schadens verpflichtet, den der andere in Ausführung der Verrichtung einem Dritten widerrechtlich zufügt. Die Ersatzpflicht tritt nicht ein, wenn der Geschäftsherr bei der Auswahl der bestellten Person und, sofern er Vorrichtungen oder Gerätschaften zu beschaffen oder die Ausführung der Verrichtung zu leiten hat, bei der Beschaffung oder der Leitung die im Verkehr erforderliche Sorgfalt beobachtet oder wenn der Schaden auch bei Anwendung dieser Sorgfalt entstanden sein würde.

(2) Die gleiche Verantwortlichkeit trifft denjenigen, welcher für den Geschäftsherrn die Besorgung eines der im Absatz 1 Satz 2 bezeichneten Geschäfte durch Vertrag übernimmt.

(1) Steht dem Versicherungsnehmer ein Ersatzanspruch gegen einen Dritten zu, geht dieser Anspruch auf den Versicherer über, soweit der Versicherer den Schaden ersetzt. Der Übergang kann nicht zum Nachteil des Versicherungsnehmers geltend gemacht werden.

(2) Der Versicherungsnehmer hat seinen Ersatzanspruch oder ein zur Sicherung dieses Anspruchs dienendes Recht unter Beachtung der geltenden Form- und Fristvorschriften zu wahren und bei dessen Durchsetzung durch den Versicherer soweit erforderlich mitzuwirken. Verletzt der Versicherungsnehmer diese Obliegenheit vorsätzlich, ist der Versicherer zur Leistung insoweit nicht verpflichtet, als er infolgedessen keinen Ersatz von dem Dritten erlangen kann. Im Fall einer grob fahrlässigen Verletzung der Obliegenheit ist der Versicherer berechtigt, seine Leistung in einem der Schwere des Verschuldens des Versicherungsnehmers entsprechenden Verhältnis zu kürzen; die Beweislast für das Nichtvorliegen einer groben Fahrlässigkeit trägt der Versicherungsnehmer.

(3) Richtet sich der Ersatzanspruch des Versicherungsnehmers gegen eine Person, mit der er bei Eintritt des Schadens in häuslicher Gemeinschaft lebt, kann der Übergang nach Absatz 1 nicht geltend gemacht werden, es sei denn, diese Person hat den Schaden vorsätzlich verursacht.

(1) Verletzt ein Beamter vorsätzlich oder fahrlässig die ihm einem Dritten gegenüber obliegende Amtspflicht, so hat er dem Dritten den daraus entstehenden Schaden zu ersetzen. Fällt dem Beamten nur Fahrlässigkeit zur Last, so kann er nur dann in Anspruch genommen werden, wenn der Verletzte nicht auf andere Weise Ersatz zu erlangen vermag.

(2) Verletzt ein Beamter bei dem Urteil in einer Rechtssache seine Amtspflicht, so ist er für den daraus entstehenden Schaden nur dann verantwortlich, wenn die Pflichtverletzung in einer Straftat besteht. Auf eine pflichtwidrige Verweigerung oder Verzögerung der Ausübung des Amts findet diese Vorschrift keine Anwendung.

(3) Die Ersatzpflicht tritt nicht ein, wenn der Verletzte vorsätzlich oder fahrlässig unterlassen hat, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.

Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Bei Vorsatz oder grober Fahrlässigkeit bleibt der Rückgriff vorbehalten. Für den Anspruch auf Schadensersatz und für den Rückgriff darf der ordentliche Rechtsweg nicht ausgeschlossen werden.

(1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.

(2) Das Deutsche Volk bekennt sich darum zu unverletzlichen und unveräußerlichen Menschenrechten als Grundlage jeder menschlichen Gemeinschaft, des Friedens und der Gerechtigkeit in der Welt.

(3) Die nachfolgenden Grundrechte binden Gesetzgebung, vollziehende Gewalt und Rechtsprechung als unmittelbar geltendes Recht.

(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.

(2) Jeder hat das Recht auf Leben und körperliche Unversehrtheit. Die Freiheit der Person ist unverletzlich. In diese Rechte darf nur auf Grund eines Gesetzes eingegriffen werden.

(1) Verletzt ein Beamter vorsätzlich oder fahrlässig die ihm einem Dritten gegenüber obliegende Amtspflicht, so hat er dem Dritten den daraus entstehenden Schaden zu ersetzen. Fällt dem Beamten nur Fahrlässigkeit zur Last, so kann er nur dann in Anspruch genommen werden, wenn der Verletzte nicht auf andere Weise Ersatz zu erlangen vermag.

(2) Verletzt ein Beamter bei dem Urteil in einer Rechtssache seine Amtspflicht, so ist er für den daraus entstehenden Schaden nur dann verantwortlich, wenn die Pflichtverletzung in einer Straftat besteht. Auf eine pflichtwidrige Verweigerung oder Verzögerung der Ausübung des Amts findet diese Vorschrift keine Anwendung.

(3) Die Ersatzpflicht tritt nicht ein, wenn der Verletzte vorsätzlich oder fahrlässig unterlassen hat, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.

Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Bei Vorsatz oder grober Fahrlässigkeit bleibt der Rückgriff vorbehalten. Für den Anspruch auf Schadensersatz und für den Rückgriff darf der ordentliche Rechtsweg nicht ausgeschlossen werden.

(1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.

(2) Das Deutsche Volk bekennt sich darum zu unverletzlichen und unveräußerlichen Menschenrechten als Grundlage jeder menschlichen Gemeinschaft, des Friedens und der Gerechtigkeit in der Welt.

(3) Die nachfolgenden Grundrechte binden Gesetzgebung, vollziehende Gewalt und Rechtsprechung als unmittelbar geltendes Recht.

(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.

(2) Jeder hat das Recht auf Leben und körperliche Unversehrtheit. Die Freiheit der Person ist unverletzlich. In diese Rechte darf nur auf Grund eines Gesetzes eingegriffen werden.

(1) Das Gericht kann, wenn die Entscheidung des Rechtsstreits ganz oder zum Teil von dem Bestehen oder Nichtbestehen eines Rechtsverhältnisses abhängt, das den Gegenstand eines anderen anhängigen Rechtsstreits bildet oder von einer Verwaltungsbehörde festzustellen ist, anordnen, dass die Verhandlung bis zur Erledigung des anderen Rechtsstreits oder bis zur Entscheidung der Verwaltungsbehörde auszusetzen sei.

(2) Das Gericht kann ferner, wenn die Entscheidung des Rechtsstreits von Feststellungszielen abhängt, die den Gegenstand eines anhängigen Musterfeststellungsverfahrens bilden, auf Antrag des Klägers, der nicht Verbraucher ist, anordnen, dass die Verhandlung bis zur Erledigung des Musterfeststellungsverfahrens auszusetzen sei.

(1) Die Berufung findet gegen die im ersten Rechtszug erlassenen Endurteile statt.

(2) Die Berufung ist nur zulässig, wenn

1.
der Wert des Beschwerdegegenstandes 600 Euro übersteigt oder
2.
das Gericht des ersten Rechtszuges die Berufung im Urteil zugelassen hat.

(3) Der Berufungskläger hat den Wert nach Absatz 2 Nr. 1 glaubhaft zu machen; zur Versicherung an Eides statt darf er nicht zugelassen werden.

(4) Das Gericht des ersten Rechtszuges lässt die Berufung zu, wenn

1.
die Rechtssache grundsätzliche Bedeutung hat oder die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts erfordert und
2.
die Partei durch das Urteil mit nicht mehr als 600 Euro beschwert ist.
Das Berufungsgericht ist an die Zulassung gebunden.

(1) Verletzt ein Beamter vorsätzlich oder fahrlässig die ihm einem Dritten gegenüber obliegende Amtspflicht, so hat er dem Dritten den daraus entstehenden Schaden zu ersetzen. Fällt dem Beamten nur Fahrlässigkeit zur Last, so kann er nur dann in Anspruch genommen werden, wenn der Verletzte nicht auf andere Weise Ersatz zu erlangen vermag.

(2) Verletzt ein Beamter bei dem Urteil in einer Rechtssache seine Amtspflicht, so ist er für den daraus entstehenden Schaden nur dann verantwortlich, wenn die Pflichtverletzung in einer Straftat besteht. Auf eine pflichtwidrige Verweigerung oder Verzögerung der Ausübung des Amts findet diese Vorschrift keine Anwendung.

(3) Die Ersatzpflicht tritt nicht ein, wenn der Verletzte vorsätzlich oder fahrlässig unterlassen hat, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.

Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Bei Vorsatz oder grober Fahrlässigkeit bleibt der Rückgriff vorbehalten. Für den Anspruch auf Schadensersatz und für den Rückgriff darf der ordentliche Rechtsweg nicht ausgeschlossen werden.

(1) Verletzt ein Beamter vorsätzlich oder fahrlässig die ihm einem Dritten gegenüber obliegende Amtspflicht, so hat er dem Dritten den daraus entstehenden Schaden zu ersetzen. Fällt dem Beamten nur Fahrlässigkeit zur Last, so kann er nur dann in Anspruch genommen werden, wenn der Verletzte nicht auf andere Weise Ersatz zu erlangen vermag.

(2) Verletzt ein Beamter bei dem Urteil in einer Rechtssache seine Amtspflicht, so ist er für den daraus entstehenden Schaden nur dann verantwortlich, wenn die Pflichtverletzung in einer Straftat besteht. Auf eine pflichtwidrige Verweigerung oder Verzögerung der Ausübung des Amts findet diese Vorschrift keine Anwendung.

(3) Die Ersatzpflicht tritt nicht ein, wenn der Verletzte vorsätzlich oder fahrlässig unterlassen hat, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.

Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Bei Vorsatz oder grober Fahrlässigkeit bleibt der Rückgriff vorbehalten. Für den Anspruch auf Schadensersatz und für den Rückgriff darf der ordentliche Rechtsweg nicht ausgeschlossen werden.

(1) Verletzt ein Beamter vorsätzlich oder fahrlässig die ihm einem Dritten gegenüber obliegende Amtspflicht, so hat er dem Dritten den daraus entstehenden Schaden zu ersetzen. Fällt dem Beamten nur Fahrlässigkeit zur Last, so kann er nur dann in Anspruch genommen werden, wenn der Verletzte nicht auf andere Weise Ersatz zu erlangen vermag.

(2) Verletzt ein Beamter bei dem Urteil in einer Rechtssache seine Amtspflicht, so ist er für den daraus entstehenden Schaden nur dann verantwortlich, wenn die Pflichtverletzung in einer Straftat besteht. Auf eine pflichtwidrige Verweigerung oder Verzögerung der Ausübung des Amts findet diese Vorschrift keine Anwendung.

(3) Die Ersatzpflicht tritt nicht ein, wenn der Verletzte vorsätzlich oder fahrlässig unterlassen hat, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.

Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Bei Vorsatz oder grober Fahrlässigkeit bleibt der Rückgriff vorbehalten. Für den Anspruch auf Schadensersatz und für den Rückgriff darf der ordentliche Rechtsweg nicht ausgeschlossen werden.

Der Schuldner hat ein Verschulden seines gesetzlichen Vertreters und der Personen, deren er sich zur Erfüllung seiner Verbindlichkeit bedient, in gleichem Umfang zu vertreten wie eigenes Verschulden. Die Vorschrift des § 276 Abs. 3 findet keine Anwendung.

(1) Der Schuldner hat Vorsatz und Fahrlässigkeit zu vertreten, wenn eine strengere oder mildere Haftung weder bestimmt noch aus dem sonstigen Inhalt des Schuldverhältnisses, insbesondere aus der Übernahme einer Garantie oder eines Beschaffungsrisikos, zu entnehmen ist. Die Vorschriften der §§ 827 und 828 finden entsprechende Anwendung.

(2) Fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt.

(3) Die Haftung wegen Vorsatzes kann dem Schuldner nicht im Voraus erlassen werden.

(1) Wer einen anderen zu einer Verrichtung bestellt, ist zum Ersatz des Schadens verpflichtet, den der andere in Ausführung der Verrichtung einem Dritten widerrechtlich zufügt. Die Ersatzpflicht tritt nicht ein, wenn der Geschäftsherr bei der Auswahl der bestellten Person und, sofern er Vorrichtungen oder Gerätschaften zu beschaffen oder die Ausführung der Verrichtung zu leiten hat, bei der Beschaffung oder der Leitung die im Verkehr erforderliche Sorgfalt beobachtet oder wenn der Schaden auch bei Anwendung dieser Sorgfalt entstanden sein würde.

(2) Die gleiche Verantwortlichkeit trifft denjenigen, welcher für den Geschäftsherrn die Besorgung eines der im Absatz 1 Satz 2 bezeichneten Geschäfte durch Vertrag übernimmt.

(1) Verletzt ein Beamter vorsätzlich oder fahrlässig die ihm einem Dritten gegenüber obliegende Amtspflicht, so hat er dem Dritten den daraus entstehenden Schaden zu ersetzen. Fällt dem Beamten nur Fahrlässigkeit zur Last, so kann er nur dann in Anspruch genommen werden, wenn der Verletzte nicht auf andere Weise Ersatz zu erlangen vermag.

(2) Verletzt ein Beamter bei dem Urteil in einer Rechtssache seine Amtspflicht, so ist er für den daraus entstehenden Schaden nur dann verantwortlich, wenn die Pflichtverletzung in einer Straftat besteht. Auf eine pflichtwidrige Verweigerung oder Verzögerung der Ausübung des Amts findet diese Vorschrift keine Anwendung.

(3) Die Ersatzpflicht tritt nicht ein, wenn der Verletzte vorsätzlich oder fahrlässig unterlassen hat, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.

(1) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte) ist eine oberste Bundesbehörde. Der Dienstsitz ist Bonn.

(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.

(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.

(1) Wegen eines Schadens, der nicht Vermögensschaden ist, kann Entschädigung in Geld nur in den durch das Gesetz bestimmten Fällen gefordert werden.

(2) Ist wegen einer Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung Schadensersatz zu leisten, kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld gefordert werden.

(1) Ist unter den Parteien streitig, ob ein Schaden entstanden sei und wie hoch sich der Schaden oder ein zu ersetzendes Interesse belaufe, so entscheidet hierüber das Gericht unter Würdigung aller Umstände nach freier Überzeugung. Ob und inwieweit eine beantragte Beweisaufnahme oder von Amts wegen die Begutachtung durch Sachverständige anzuordnen sei, bleibt dem Ermessen des Gerichts überlassen. Das Gericht kann den Beweisführer über den Schaden oder das Interesse vernehmen; die Vorschriften des § 452 Abs. 1 Satz 1, Abs. 2 bis 4 gelten entsprechend.

(2) Die Vorschriften des Absatzes 1 Satz 1, 2 sind bei vermögensrechtlichen Streitigkeiten auch in anderen Fällen entsprechend anzuwenden, soweit unter den Parteien die Höhe einer Forderung streitig ist und die vollständige Aufklärung aller hierfür maßgebenden Umstände mit Schwierigkeiten verbunden ist, die zu der Bedeutung des streitigen Teiles der Forderung in keinem Verhältnis stehen.

(1) Verletzt ein Beamter vorsätzlich oder fahrlässig die ihm einem Dritten gegenüber obliegende Amtspflicht, so hat er dem Dritten den daraus entstehenden Schaden zu ersetzen. Fällt dem Beamten nur Fahrlässigkeit zur Last, so kann er nur dann in Anspruch genommen werden, wenn der Verletzte nicht auf andere Weise Ersatz zu erlangen vermag.

(2) Verletzt ein Beamter bei dem Urteil in einer Rechtssache seine Amtspflicht, so ist er für den daraus entstehenden Schaden nur dann verantwortlich, wenn die Pflichtverletzung in einer Straftat besteht. Auf eine pflichtwidrige Verweigerung oder Verzögerung der Ausübung des Amts findet diese Vorschrift keine Anwendung.

(3) Die Ersatzpflicht tritt nicht ein, wenn der Verletzte vorsätzlich oder fahrlässig unterlassen hat, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.

Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Bei Vorsatz oder grober Fahrlässigkeit bleibt der Rückgriff vorbehalten. Für den Anspruch auf Schadensersatz und für den Rückgriff darf der ordentliche Rechtsweg nicht ausgeschlossen werden.

(1) Verletzt ein Beamter vorsätzlich oder fahrlässig die ihm einem Dritten gegenüber obliegende Amtspflicht, so hat er dem Dritten den daraus entstehenden Schaden zu ersetzen. Fällt dem Beamten nur Fahrlässigkeit zur Last, so kann er nur dann in Anspruch genommen werden, wenn der Verletzte nicht auf andere Weise Ersatz zu erlangen vermag.

(2) Verletzt ein Beamter bei dem Urteil in einer Rechtssache seine Amtspflicht, so ist er für den daraus entstehenden Schaden nur dann verantwortlich, wenn die Pflichtverletzung in einer Straftat besteht. Auf eine pflichtwidrige Verweigerung oder Verzögerung der Ausübung des Amts findet diese Vorschrift keine Anwendung.

(3) Die Ersatzpflicht tritt nicht ein, wenn der Verletzte vorsätzlich oder fahrlässig unterlassen hat, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.

*

(1) Eine Geldschuld ist während des Verzugs zu verzinsen. Der Verzugszinssatz beträgt für das Jahr fünf Prozentpunkte über dem Basiszinssatz.

(2) Bei Rechtsgeschäften, an denen ein Verbraucher nicht beteiligt ist, beträgt der Zinssatz für Entgeltforderungen neun Prozentpunkte über dem Basiszinssatz.

(3) Der Gläubiger kann aus einem anderen Rechtsgrund höhere Zinsen verlangen.

(4) Die Geltendmachung eines weiteren Schadens ist nicht ausgeschlossen.

(5) Der Gläubiger einer Entgeltforderung hat bei Verzug des Schuldners, wenn dieser kein Verbraucher ist, außerdem einen Anspruch auf Zahlung einer Pauschale in Höhe von 40 Euro. Dies gilt auch, wenn es sich bei der Entgeltforderung um eine Abschlagszahlung oder sonstige Ratenzahlung handelt. Die Pauschale nach Satz 1 ist auf einen geschuldeten Schadensersatz anzurechnen, soweit der Schaden in Kosten der Rechtsverfolgung begründet ist.

(6) Eine im Voraus getroffene Vereinbarung, die den Anspruch des Gläubigers einer Entgeltforderung auf Verzugszinsen ausschließt, ist unwirksam. Gleiches gilt für eine Vereinbarung, die diesen Anspruch beschränkt oder den Anspruch des Gläubigers einer Entgeltforderung auf die Pauschale nach Absatz 5 oder auf Ersatz des Schadens, der in Kosten der Rechtsverfolgung begründet ist, ausschließt oder beschränkt, wenn sie im Hinblick auf die Belange des Gläubigers grob unbillig ist. Eine Vereinbarung über den Ausschluss der Pauschale nach Absatz 5 oder des Ersatzes des Schadens, der in Kosten der Rechtsverfolgung begründet ist, ist im Zweifel als grob unbillig anzusehen. Die Sätze 1 bis 3 sind nicht anzuwenden, wenn sich der Anspruch gegen einen Verbraucher richtet.

(1) Steht dem Versicherungsnehmer ein Ersatzanspruch gegen einen Dritten zu, geht dieser Anspruch auf den Versicherer über, soweit der Versicherer den Schaden ersetzt. Der Übergang kann nicht zum Nachteil des Versicherungsnehmers geltend gemacht werden.

(2) Der Versicherungsnehmer hat seinen Ersatzanspruch oder ein zur Sicherung dieses Anspruchs dienendes Recht unter Beachtung der geltenden Form- und Fristvorschriften zu wahren und bei dessen Durchsetzung durch den Versicherer soweit erforderlich mitzuwirken. Verletzt der Versicherungsnehmer diese Obliegenheit vorsätzlich, ist der Versicherer zur Leistung insoweit nicht verpflichtet, als er infolgedessen keinen Ersatz von dem Dritten erlangen kann. Im Fall einer grob fahrlässigen Verletzung der Obliegenheit ist der Versicherer berechtigt, seine Leistung in einem der Schwere des Verschuldens des Versicherungsnehmers entsprechenden Verhältnis zu kürzen; die Beweislast für das Nichtvorliegen einer groben Fahrlässigkeit trägt der Versicherungsnehmer.

(3) Richtet sich der Ersatzanspruch des Versicherungsnehmers gegen eine Person, mit der er bei Eintritt des Schadens in häuslicher Gemeinschaft lebt, kann der Übergang nach Absatz 1 nicht geltend gemacht werden, es sei denn, diese Person hat den Schaden vorsätzlich verursacht.

(1) Das Gericht hat das Sach- und Streitverhältnis, soweit erforderlich, mit den Parteien nach der tatsächlichen und rechtlichen Seite zu erörtern und Fragen zu stellen. Es hat dahin zu wirken, dass die Parteien sich rechtzeitig und vollständig über alle erheblichen Tatsachen erklären, insbesondere ungenügende Angaben zu den geltend gemachten Tatsachen ergänzen, die Beweismittel bezeichnen und die sachdienlichen Anträge stellen. Das Gericht kann durch Maßnahmen der Prozessleitung das Verfahren strukturieren und den Streitstoff abschichten.

(2) Auf einen Gesichtspunkt, den eine Partei erkennbar übersehen oder für unerheblich gehalten hat, darf das Gericht, soweit nicht nur eine Nebenforderung betroffen ist, seine Entscheidung nur stützen, wenn es darauf hingewiesen und Gelegenheit zur Äußerung dazu gegeben hat. Dasselbe gilt für einen Gesichtspunkt, den das Gericht anders beurteilt als beide Parteien.

(3) Das Gericht hat auf die Bedenken aufmerksam zu machen, die hinsichtlich der von Amts wegen zu berücksichtigenden Punkte bestehen.

(4) Hinweise nach dieser Vorschrift sind so früh wie möglich zu erteilen und aktenkundig zu machen. Ihre Erteilung kann nur durch den Inhalt der Akten bewiesen werden. Gegen den Inhalt der Akten ist nur der Nachweis der Fälschung zulässig.

(5) Ist einer Partei eine sofortige Erklärung zu einem gerichtlichen Hinweis nicht möglich, so soll auf ihren Antrag das Gericht eine Frist bestimmen, in der sie die Erklärung in einem Schriftsatz nachbringen kann.

(1) Die Kosten eines ohne Erfolg eingelegten Rechtsmittels fallen der Partei zur Last, die es eingelegt hat.

(2) Die Kosten des Rechtsmittelverfahrens sind der obsiegenden Partei ganz oder teilweise aufzuerlegen, wenn sie auf Grund eines neuen Vorbringens obsiegt, das sie in einem früheren Rechtszug geltend zu machen imstande war.

(3) (weggefallen)

(1) Wenn jede Partei teils obsiegt, teils unterliegt, so sind die Kosten gegeneinander aufzuheben oder verhältnismäßig zu teilen. Sind die Kosten gegeneinander aufgehoben, so fallen die Gerichtskosten jeder Partei zur Hälfte zur Last.

(2) Das Gericht kann der einen Partei die gesamten Prozesskosten auferlegen, wenn

1.
die Zuvielforderung der anderen Partei verhältnismäßig geringfügig war und keine oder nur geringfügig höhere Kosten veranlasst hat oder
2.
der Betrag der Forderung der anderen Partei von der Festsetzung durch richterliches Ermessen, von der Ermittlung durch Sachverständige oder von einer gegenseitigen Berechnung abhängig war.

(1) Die Kosten eines ohne Erfolg eingelegten Rechtsmittels fallen der Partei zur Last, die es eingelegt hat.

(2) Die Kosten des Rechtsmittelverfahrens sind der obsiegenden Partei ganz oder teilweise aufzuerlegen, wenn sie auf Grund eines neuen Vorbringens obsiegt, das sie in einem früheren Rechtszug geltend zu machen imstande war.

(3) (weggefallen)

(1) Wenn jede Partei teils obsiegt, teils unterliegt, so sind die Kosten gegeneinander aufzuheben oder verhältnismäßig zu teilen. Sind die Kosten gegeneinander aufgehoben, so fallen die Gerichtskosten jeder Partei zur Hälfte zur Last.

(2) Das Gericht kann der einen Partei die gesamten Prozesskosten auferlegen, wenn

1.
die Zuvielforderung der anderen Partei verhältnismäßig geringfügig war und keine oder nur geringfügig höhere Kosten veranlasst hat oder
2.
der Betrag der Forderung der anderen Partei von der Festsetzung durch richterliches Ermessen, von der Ermittlung durch Sachverständige oder von einer gegenseitigen Berechnung abhängig war.

Für vorläufig vollstreckbar ohne Sicherheitsleistung sind zu erklären:

1.
Urteile, die auf Grund eines Anerkenntnisses oder eines Verzichts ergehen;
2.
Versäumnisurteile und Urteile nach Lage der Akten gegen die säumige Partei gemäß § 331a;
3.
Urteile, durch die gemäß § 341 der Einspruch als unzulässig verworfen wird;
4.
Urteile, die im Urkunden-, Wechsel- oder Scheckprozess erlassen werden;
5.
Urteile, die ein Vorbehaltsurteil, das im Urkunden-, Wechsel- oder Scheckprozess erlassen wurde, für vorbehaltlos erklären;
6.
Urteile, durch die Arreste oder einstweilige Verfügungen abgelehnt oder aufgehoben werden;
7.
Urteile in Streitigkeiten zwischen dem Vermieter und dem Mieter oder Untermieter von Wohnräumen oder anderen Räumen oder zwischen dem Mieter und dem Untermieter solcher Räume wegen Überlassung, Benutzung oder Räumung, wegen Fortsetzung des Mietverhältnisses über Wohnraum auf Grund der §§ 574 bis 574b des Bürgerlichen Gesetzbuchs sowie wegen Zurückhaltung der von dem Mieter oder dem Untermieter in die Mieträume eingebrachten Sachen;
8.
Urteile, die die Verpflichtung aussprechen, Unterhalt, Renten wegen Entziehung einer Unterhaltsforderung oder Renten wegen einer Verletzung des Körpers oder der Gesundheit zu entrichten, soweit sich die Verpflichtung auf die Zeit nach der Klageerhebung und auf das ihr vorausgehende letzte Vierteljahr bezieht;
9.
Urteile nach §§ 861, 862 des Bürgerlichen Gesetzbuchs auf Wiedereinräumung des Besitzes oder auf Beseitigung oder Unterlassung einer Besitzstörung;
10.
Berufungsurteile in vermögensrechtlichen Streitigkeiten. Wird die Berufung durch Urteil oder Beschluss gemäß § 522 Absatz 2 zurückgewiesen, ist auszusprechen, dass das angefochtene Urteil ohne Sicherheitsleistung vorläufig vollstreckbar ist;
11.
andere Urteile in vermögensrechtlichen Streitigkeiten, wenn der Gegenstand der Verurteilung in der Hauptsache 1.250 Euro nicht übersteigt oder wenn nur die Entscheidung über die Kosten vollstreckbar ist und eine Vollstreckung im Wert von nicht mehr als 1.500 Euro ermöglicht.

(1) Wer einen anderen zu einer Verrichtung bestellt, ist zum Ersatz des Schadens verpflichtet, den der andere in Ausführung der Verrichtung einem Dritten widerrechtlich zufügt. Die Ersatzpflicht tritt nicht ein, wenn der Geschäftsherr bei der Auswahl der bestellten Person und, sofern er Vorrichtungen oder Gerätschaften zu beschaffen oder die Ausführung der Verrichtung zu leiten hat, bei der Beschaffung oder der Leitung die im Verkehr erforderliche Sorgfalt beobachtet oder wenn der Schaden auch bei Anwendung dieser Sorgfalt entstanden sein würde.

(2) Die gleiche Verantwortlichkeit trifft denjenigen, welcher für den Geschäftsherrn die Besorgung eines der im Absatz 1 Satz 2 bezeichneten Geschäfte durch Vertrag übernimmt.