Prof. Dr. Hervé Edelmann, Fachanwalt für Bank- und Kapitalmarktrecht, Thümmel, Schütze & Partner, Stuttgart
In einem Fall, in welchem eine Bank „versehentlich“ einen personenbezogene Daten enthaltenden Kontoauszug an einen Dritten unter Verstoß gegen die DSGVO versandt hatte, musste sich das OLG Frankfurt in seinem Urteil vom 14.04.2022, 3 U 21/20 (vgl. hierzu die Anm. von Hessel/Callewaert, BKR 2022, 540 ff.) zunächst mit der Frage auseinandersetzen, ob dem betroffenen Bankkunden im Falle einer rechtswidrigen Datenverarbeitung nach der DSGVO ein Unterlassungsanspruch zusteht.
Unter Hinweis auf die ganz herrschende Meinung in Rechtsprechung und Literatur bejaht das OLG Frankfurt einen Unterlassungsanspruch aus § 823 Abs. 1, § 1000 Abs. 1 S. 2 BGB analog in Verbindung mit Art. 6 Abs. 1 DSGVO, welcher nicht durch Art. 79 Abs. 1 DSGVO gesperrt wird (so auch OLG Dresden, Urteil vom 14.12.2021, 4 U 1278/00, WM 2022, 619, 621 Rn. 45 f.). Zur Begründung führt das OLG Frankfurt aus, dass nur so ein lückenloser Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen gewährleistet werden könne (Rn. 24; so auch OLG Dresden, a. a. O., Rn. 46).
Ergänzend hierzu führt das OLG Frankfurt aus, dass sich ein weiterer Unterlassungsanspruch auch aus § 17 Abs. 1 DSGVO i. V. m. Art. 6 Abs. 1 DSGVO ergibt. Begründet wird dies damit, dass zwar Art. 17 DSGVO nur ein Löschungsrecht normiert, dass ungeachtet dessen aber aus der Verbindung des Art. 17 mit Art. 79 DSGVO, welcher wirksame gerichtliche Rechtsbehelfe bei Verletzung der Datenschutzgrundverordnung garantiert, ein weiterer Unterlassungsanspruch hergeleitet werden könne (Rn. 24).
Sodann hält das OLG Frankfurt fest, dass der geltend gemachte Unterlassungsanspruch im konkreten Fall auch begründet sei. Dies ergebe sich nämlich nicht nur unmittelbar aus der Verletzung der Rechte des Betroffenen aus Art. 6 der DSGVO i. V. m. Art. 17 und Art. 79 DSGVO. Vielmehr sei entgegen der Auffassung des Landgerichts eine nicht von den Bestimmungen der DSGVO gedeckte Übermittlung personenbezogener Daten stets auch als eine Verletzung des allgemeinen Persönlichkeitsrechts anzusehen, das als sonstiges Recht i. S. d. § 823 Abs. 1 BGB auch negatorischen Schutz nach allgemeinen Vorschriften genießt und im Lichte der europäischen Gesetzgebung auszulegen ist (Rn. 25).
Sodann musste sich das OLG Frankfurt mit der Frage befassen, ob dem betroffenen Bankkunden auch ein Schmerzensgeldanspruch aus Art. 82 DSGVO i. V. m. §§ 249, 253 BGB zusteht. Nachdem das OLG Frankfurt das Vorliegen eines immateriellen Schadens durch die Übersendung des die personenbezogenen Daten enthaltenden Kontoauszuges bejahte, musste sich das OLG Frankfurt nicht mit der in Rechtsprechung und Literatur umstrittenen Frage auseinandersetzen, ob die nach der Verordnung selbst gebotene weite Auslegung dazu führt, dass grundsätzlich jeder DSGVO-Verstoß auch einen immateriellen Schaden begründet, ohne dass es auf die Schwere des immateriellen Schadens sowie die Schadenshöhe ankommt (Rn. 36). In diesem Zusammenhang weist das OLG Frankfurt darauf hin, dass genau diese Frage sowohl vom BAG als auch vom OGH Österreich dem EuGH vorgelegt wurde, nämlich die Frage, ob der Eintritt eines Schadens beim Betroffenen eine Tatbestandsvoraussetzung ist oder eine Verletzung von Bestimmungen der DSGVO ausreicht und ob eine gewisse Erheblichkeit für die Gewährung von Schadensersatz erforderlich ist (Rn. 37). Zudem weist das OLG Frankfurt in diesem Zusammenhang darauf hin, dass die deutsche Rechtsprechung, die immateriellen Schadensersatz bisher nur bei schwerwiegenden Persönlichkeitsverletzungen zugesprochen hat, im Anwendungsbereich der DSGVO nicht mehr gilt (Rn. 39). Zudem weist das OLG Frankfurt auch darauf hin, dass sich ein Ausschluss vermeintlicher Bagatellschäden wegen fehlender Erheblichkeit weder aus dem Gesetz ergibt noch aus der Rechtsprechung des europäischen Gerichtshofs (Rn. 40; vgl. hierzu auch OLG Dresden, a. a. O., wo ein Anspruch auf Schadensersatz mangels Feststehen eines Schadens abgelehnt wurde).
Schließlich musste sich der Senat mit der Frage der Bemessung des Schmerzensgeldes auseinandersetzen. In diesem Zusammenhang weist das OLG Frankfurt auf die Vorlage an den EuGH zu der Frage hin, ob es bei der Bemessung des immateriellen Schadensersatzes auf den Grad des Verschuldens des Verantwortlichen ankommt und ob ein geringes Verschulden zu dessen Gunsten berücksichtigt werden darf (Rn. 52). Ausgehend von dem Erwägungsgrund 146 der DSGVO, nach welchem dem Geschädigten ein vollständiger und umfassender Schadensersatz für den erlittenen Schaden zu gewähren ist, gelangt das OLG Frankfurt zur Festlegung eines Schmerzensgeldes i. H. v. 500,00 €, wobei hierbei auch die Kriterien des Art. 83 Abs. 2 DSGVO, welcher für die Verhängung von Geldbußen durch die Aufsichtsbehörden gilt, berücksichtigt wurden (Rn. 50 ff.).
PRAXISTIPP
Durch vorstehende Entscheidung wird deutlich, dass selbst eine versehentliche Übersendung von personenbezogene Daten enthaltenden Kontoauszügen zu Unterlassungsansprüchen des betroffenen Bankkunden führen können sowie zur Gewährung eines Schmerzensgeldanspruchs, der im konkreten Fall allerdings relativ milde ausgefallen ist, was nicht immer sichergestellt sein dürfte.
Beitragsnummer: 21797