Das OLG Dresden hat mit Urteil vom 30. November 2021 (Az. 4 U 1158/21) folgende Leitsätze aufgestellt:
Sachverhalt
Der Kläger verlangt gesamtschuldnerisch von den Beklagten die Zahlung von Schadensersatz wegen Verletzung seiner Rechte aus der DSGVO. Der sog. Streithelfer hatte im Auftrag des Beklagten zu 2) – Vereinsgeschäftsführer –, dieser wiederum handelnd namens des Beklagten zu 1) – Verein – eine Recherche durchgeführt und hierbei unter anderem Erkenntnisse über den Kläger im Zusammenhang mit strafrechtlich relevanten Sachverhalten gewonnen. Der Beklagte zu 1) nahm dies zum Anlass, die vom Kläger beantragte Mitgliedschaft beim Beklagten zu 1) abzulehnen, nachdem dessen Vorstandsmitglieder durch den Beklagten zu 2) über das Ergebnis der Recherche unterrichtet worden waren.
Das Landgericht gab der Klage teilweise statt und verurteilte die Beklagten zur Zahlung von Schadensersatz i.H.v. 5.000 Euro wegen Verstoßes gegen die DSGVO. Die Berufung des Klägers, der die Zahlung des ursprünglich verlangten Schmerzensgeldes i.H.v. 21.000 Euro weiterverfolgt, hatte vor dem OLG Dresden keinen Erfolg. Die Revision zum BGH wurde nicht zugelassen.
Begründung
Sowohl der Beklagte zu 1) als auch der Beklagte zu 2) sind verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DSGVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.
Die Beklagten haben auch personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO verarbeitet. Nach der Regelungstruktur der DSGVO ist jede Verarbeitung personenbezogener Daten ohne aktiv erteilte Einwilligung rechtswidrig, es sei denn, es greift einer der in Art. 6 DSGVO genannten Rechtfertigungsgründe. Allerdings ist auch dies vorliegend nicht der Fall. Eine Rechtfertigung nach Art. 6 Abs. 1 f DSGVO kommt vorliegend nicht in Betracht. Dabei bedarf es noch nicht einmal der bei Vorliegen der Tatbestandsvoraussetzungen nach Art. 6 Abs. 1 f DSGVO erforderlichen Interessenabwägung, denn die im Ausspähen des Klägers liegende und den Beklagten zuzurechnende Datenverarbeitung war bereits nicht erforderlich.
Der Erforderlichkeitsgrundsatz ist ein Ausfluss des Zweckbindungsgrundsatzes im Sinne von Art. 5 Abs. 1 b DSGVO, der der Ausfüllung und Konkretisierung im Einzelfall bedarf. Er darf zwar nicht im Sinn einer zwingenden Notwendigkeit überinterpretiert werden, verlangt werden muss aber, dass die Datenverarbeitung zur Erreichung des Zwecks nicht nur objektiv tauglich ist, sondern dass eine für die betroffene Person weniger invasive Alternative entweder nicht vorliegt oder für den Verantwortlichen nicht zumutbar ist. Dies war hier nicht der Fall. Vorliegend hätte es etwa genügt, den Kläger zunächst zur ergänzenden Selbstauskunft, gegebenenfalls Vorlage eines polizeilichen Führungszeugnisses aufzufordern, nachdem dieser auch nach Behauptung des Beklagten zu 1) von sich aus ein gegen ihn geführtes Ermittlungsverfahren angesprochen haben soll. Die durch den Streithelfer abzuklärenden etwaigen Vorstrafen des Klägers verstoßen darüber hinaus auch gegen Art. 10 DSGVO, der die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln grundsätzlich nur unter behördlicher Aufsicht gestattet.
Die Ausspähung des Klägers hat auch eindeutig die Bagatellschwelle über- schritten. Die Datenweitergabe mit den daraus resultierenden Folgen ging über die reine Privatsphäre oder das private Verhältnis zwischen dem Kläger und dem Beklagten zu 2) weit hinaus, denn nachdem dieser die Weitergabe der erhobenen Daten angeordnet hatte, wurden die hieraus gewonnenen Ergebnisse den übrigen Vorstandsmitgliedern des Beklagten zu 1) bekannt gegeben. Des Weiteren wurde dem Kläger die Mitgliedschaft im Verein versagt und er musste damit rechnen, dass die über ihn eingeholten Daten nicht lediglich an zwei Vorstandsmitglieder gelangt sind und damit Details aus seiner Vergangenheit möglicherweise in einem größeren Umfeld bekannt geworden sind.
Im Rahmen der nach § 287 ZPO vorzunehmenden Schadensschätzung sind auch im Rahmen des Art. 82 DSGVO allgemein die Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägung mit einzubeziehen. Nach Erwägungsgrund Nr. 146 der DSGVO soll der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Art und Weise ausgelegt werden, „die den Zielen dieser Verordnung in vollem Umfang entspricht“. Nach dem Effektivitätsprinzip ist insoweit auch eine abschreckende Sanktion nicht ausgeschlossen. Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben. Danach rechtfertigt die unzulässige Datenverarbeitung durch die beiden Beklagten einen immateriellen Schadensersatz nach Art. 82 DSGVO allerdings lediglich in der vom Landgericht ausgeurteilten Höhe.
(Quelle: CR Onlineportal zum IT-Recht vom 14. März 2022)