BSG, Urteil vom 24.9.2024 – B 7 AS 15/23 R
Art. 82 DSGVO – Immaterieller Schadenersatz
Wird eine Auskunft nicht innerhalb der Frist des Art. 12 Abs. 3 S. 1 DSGVO erteilt, liegt darin kein Kontrollverlust über die personenbezogenen Daten, sondern lediglich ein Zeitverzug, der kein konkretes Risiko einer missbräuchlichen Datenverwendung durch Dritte als Grundlage eines immateriellen Schadens begründet; dies hat das BSG (Urteil vom 24.9.2024 – B 7 AS 15/23 R) entschieden.
Die Beteiligten streiten über einen Anspruch auf immateriellen Schadensersatz i.H.v. 5.000 EUR. Der Kläger bezog in den Jahren 2005 bis 2009, 2013 und 2016 ALG II vom beklagten Jobcenter. Mit Telefaxnachrichten v. 21.8.2019 und 11.9.2019 erinnerte er den Bekl. an eine Auskunft nach Art. 15 DSGVO, die er bereits mit E-Mail v. 16.7.2019 beantragt habe. Der Bekl. erteilte dem Kl. Auskunft (Schreiben v. 13.2.2020) und informierte ihn in dem in Art. 15 Abs 1 lit. a bis lit. h DSGVO genannten Umfang.
Datenverarbeitung zu bejahen
Zunächst stellt das BSG fest, dass die Auskunftserteilung eine Datenverarbeitung nach der DSGVO darstelle. Das Erteilen von Auskunft und Informationen nach Art. 15 DSGVO unterfällt dem Begriff der Datenverarbeitung im Sinne des Art. 4 Nr. 2 DSGVO.
Dabei ist vor dem Hintergrund von Wortlaut, Systematik und der mit der DSGVO verfolgten von einem weiten Verarbeitungsbegriff auszugehen. Art. 4 Nr. 2 DSGVO erfasst bereits nach seinem Wortlaut „jeden“ mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang und fügt regelbeispielhaft („wie“) Tätigkeiten auf, die als Vorgang in diesem Sinn angesehen werden können. Die Aufzählung erfasst ua die Verwendung, Offenlegung durch Übermittlung, die Verbreitung und „[jede] andere Form der Bereitstellung“. Schon seinem Wortlaut nach deckt der Begriff der „Verarbeitung“ daher auch das Erteilen einer Auskunft an die betroffene Person ab.
Fehlender Kontrollverlust
Ein ersatzfähiger Schaden ist dem Kläger indes nicht entstanden. Art. 82 Abs. 1 DSGVO ist nach ständiger Rechtsprechung des EuGH dahin auszulegen, dass der bloße Verstoß gegen die VO bei der Datenverarbeitung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss auch ein konkreter materieller oder immaterieller Schaden vorliegen. Der Eintritt eines Schadens wird nicht vermutet. Vielmehr trägt die Person, die auf der Grundlage von Art. 82 DSGVO den Ersatz eines immateriellen Schadens verlangt, die objektive Beweislast, dass ihr durch den Verstoß gegen die VO ein solcher Schaden entstanden ist. Der Zweck der DSGVO, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten, würde in sein Gegenteil verkehrt, wenn die pauschale Behauptung eines Nachteils ausreichen würde, um einen ersatzfähigen Schaden zu begründen.
Zwar kann eine betroffene Person einen konkreten immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO auch durch den Verlust der Kontrolle über ihre personenbezogenen Daten erleiden, wie sich aus Wortlaut, Systematik sowie Sinn und Zweck des Art. 82 DS-GVO ergibt (vgl EuGH vom 25.1.2024 – C-687/21 – ECLI:EU:C:2024:72 = DB 2024, 519 RdNr. 66). Unter einem Kontrollverlust versteht der EuGH dabei allerdings nur eine Situation, in der die betroffene Person die begründete Befürchtung hegt, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten genügt dafür nicht. Rein hypothetisch ist das Risiko beispielsweise dann, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat. Das Schadensverständnis der VO wird auch aus Erwägungsgrund 75 bzw. 85 Satz 1 deutlich. Als Regelbeispiele, die einen physischen, materiellen oder immateriellen Schaden begründen können, werden ua benannt, wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren.