Zur Zeit der Jahrtausendwende hätte der Titel dieses Beitrags mutmaßlich für einiges Stirnrunzeln gesorgt: Wer oder was ist ESG und was hat es in einem Hollywood-Blockbuster mit Keanu Reeves verloren? 

In der heutigen Zeit lassen sich die Begriffe (auch) außerhalb des Kinos in der gesellschaftsrechtlichen Realität verorten. Das Thema ESG (Environmental, Social, Governance) ist nach wie vor in aller Munde und wird durch die hochfrequente Schaffung neuer Regelungen, insbesondere auf Ebene der EU, sowie damit zusammenhängende politische Auseinandersetzungen und Diskussionen befeuert. Matrixstrukturen sind in nationalen und insbesondere multinationalen Konzernen weit verbreitet und integraler Bestandteil der Unternehmens- und Konzernstruktur. 

Nachfolgend wird ein Überblick darüber gegeben, welches Potenzial die Verbindung von ESG mit Matrixstrukturen für die effiziente und passgenaue Umsetzung von ESG-Themen in Unternehmen und Konzernen bietet.

Matrixstrukturen als Organisationsmodell von Unternehmens- und Konzernleitung

In Unternehmen zeichnen sich Matrixstrukturen im Kern dadurch aus, dass ein Unternehmen entgegen einer Einlinienorganisation, in welcher das Unternehmen nach nur einem Gliederungskriterium organisiert ist (zum Beispiel nach Sparten, das heißt Produkten oder ähnlichem, im Rahmen einer Spartenorganisation), nach mindestens zwei Gliederungskriterien (zum Beispiel nach Produkten und Funktionen) organisiert ist. Die Überschneidung dieser Gliederungskriterien führt zur Herausbildung von Matrixzellen (diese können beispielsweise aus Individuen oder aus Gesellschaften bestehen), die von Matrixmanagern innerhalb des jeweiligen (funktionalen bzw. divisionalen) Bereichs geleitet werden, welche wiederum einer übergeordneten Matrixleitung unterstehen.

Matrixstrukturen sind auch konzernweit denkbar und oftmals in der Realität anzutreffen. In aller Regel besteht eine Matrixstruktur (auch) im Konzern aus 

• der Matrixleitung (Unternehmensleitung des herrschenden Unternehmens, die Ziele und Strategien der Matrixstruktur festlegt und die Struktur und Führung der Matrix koordiniert),
• den unmittelbar nachgeordneten Matrixmanagern (konzernweite Leitung eines Organisationsbereichs) sowie 
• den Matrixzellen (Individuen oder Konzerngesellschaften, welche die Weisungen der Matrixmanager ausführen und an diese berichten).

Soll in einem Konzern eine Matrixstruktur gelebt werden, stellt sich die Frage, wie diese Struktur implementiert werden kann. Entscheidend für den Aufbau einer Matrixstruktur im Konzern sind Weisungs- und Informationsrechte der Matrixleitung gegenüber den Matrixmanagern und von diesen für den von ihnen zu verantwortenden Organisationsbereich. Ein Schwerpunkt ist daher auf die Implementierung dieser Einflussmöglichkeiten der Beteiligten zu legen. 

Wie die vorgenannten Einflussmöglichkeiten in einem Konzern implementiert werden können, hängt maßgeblich von der jeweiligen Rechtsform der Konzerngesellschaften ab. So müssen die Einflussmöglichkeiten, insbesondere Weisungs- und Informationsrechte, des herrschenden Unternehmens als Matrixleitung auf den Vorstand einer dem Konzern angehörigen Aktiengesellschaft durch geeignete Maßnahmen, wie zum Beispiel den Abschluss von Beherrschungsverträgen, die Vornahme von Eingliederungen oder die Implementierung von Doppelmandaten der Geschäftsleitung, geschaffen werden. In der GmbH sind hingegen Weisungs- und Informationsrechte der Gesellschafter bereits im Gesetz vorgesehen. Sofern die Einflussmöglichkeiten des herrschenden Unternehmens als Matrixleitung sichergestellt sind, können diese zum Beispiel mittels Vollmachten die jeweiligen Matrixmanager mit den benötigten Weisungs- und Informationsrechten ausstatten. 

ESG-Regelungen auf dem Vormarsch

Aufgrund der zunehmenden Regelungsdichte stehen ESG-Themen derzeit besonders im Fokus in Unternehmen und Konzernen. Insbesondere die Errichtung von Compliance-Systemen zur Sicherstellung der Einhaltung von ESG-Verpflichtungen ist derzeit ein wiederkehrendes Thema in der Beratungspraxis. Herausfordernd ist hierbei insbesondere, dass eine Definition von ESG oder seiner Bestandteile Environmental, Social und Governance aufgrund der thematischen Breite kaum möglich ist. 

So umfasst zum Beispiel der Bereich Environment nicht „nur“ CO2-Emissionen, sondern auch andere Umweltverschmutzungen, Schadstoffemissionen, Auswirkungen auf Ökosysteme und Artenvielfalt oder die Kreislaufwirtschaft. Zum „S“ in ESG gehören neben den eigenen Angestellten auch Themen wie Arbeitsschutz, Diversität und Weiterbildungsmöglichkeiten, aber auch Arbeitnehmerrechte in der Lieferkette. Und Governance schließlich umfasst beispielsweise die Vergütung und Diversität in den Führungsgremien, das Risikomanagement, aber auch die Corporate Governance und Compliance-Aspekte im Allgemeinen. 

Reguliert sind diese Themen nicht etwa in einem einheitlichen ESG-Gesetz, sondern insbesondere in europäischen Richtlinien (und entsprechenden nationalen Umsetzungsgesetzen) und europäischen Verordnungen. Hinzu kommen von der europäischen Regulatorik unabhängige nationale Gesetze und untergesetzliche Rechtsnormen. Insbesondere auf europäischer Ebene ist eine hohe Dynamik zu beobachten. Ein Beispiel für diese Dynamik ist die Corporate Sustainability Reporting Directive (CSRD), die bis zum 6. Juli 2024 in deutsches Recht umzusetzen ist. Mit der CSRD werden die bestehenden Regeln zur nicht-finanziellen Berichterstattung erheblich erweitert. In personeller Hinsicht werden nun deutlich mehr Unternehmen bei Erfüllung bestimmter Kriterien (Notierung an einem EU-regulierten Markt oder Erreichen bestimmter Größenkriterien) erfasst. In sachlicher Hinsicht wird das nicht-finanzielle Reporting zu einem umfassenden Nachhaltigkeitsreporting ausgebaut. Überdies muss der Nachhaltigkeitsbericht unter der CSRD zwingend in den Lagebericht erfasster Unternehmen aufgenommen und durch einen Abschlussprüfer (oder diesen gleichgestellten Prüfer) geprüft werden. Dies unterstreicht die beabsichtigte Gleichstellung der Nachhaltigkeitsberichterstattung mit der finanziellen Berichterstattung. 

Diese und weitere ESG-bezogenen Regulierungen haben insbesondere das Ziel, der zunehmenden gesellschaftlichen Bedeutung von ESG-Themen sowie den wissenschaftlich-ökologischen Erkenntnissen zum Klimawandel Rechnung zu tragen. ESG-Themen gewinnen darüber hinaus für die Unternehmensführung zunehmend an praktischer Relevanz, da eine langfristige Zukunftssicherung des Unternehmens ohne sie nicht mehr denkbar ist. Dabei ist ein wesentlicher Faktor für die Zukunftsfähigkeit eines Unternehmens die Sicherung der Finanzierung: Sowohl bei der Finanzierung über den Kapitalmarkt als auch bei der Bankfinanzierung gewinnen ESG-Kriterien zunehmend an Bedeutung. Dies hat beispielsweise zur Folge, dass einige Unternehmen nur mit sehr hohem Aufwand Zugang zu Krediten erhalten oder für bestimmte Investorengruppen uninteressant werden. Es liegt daher auch im finanziellen Interesse des Unternehmens, ESG-Themen eine gesteigerte Bedeutung beizumessen, um langfristig für Investoren eine attraktive Anlage und für Banken ein attraktiver Kreditnehmer zu sein.

Darüber hinaus kann Nachhaltigkeit für das Unternehmen auch eine Chance zur Verbesserung der eigenen Reputation sein, wenn ESG-Themen von der Unternehmensführung eine wesentliche Bedeutung beigemessen und das Unternehmen damit im Vergleich zu anderen Unternehmen zum „Vorreiter“ wird. Auch auf dem Bewerbermarkt, aber auch gegenüber Kunden, Lieferanten und anderen Marktteilnehmern lässt sich damit punkten.

Implementierung eines „ESG-Matrix-Compliance-Systems“

Matrixstrukturen werden häufig genutzt, um die Einhaltung gesetzlicher Vorgaben im Konzern zu kontrollieren und ein Compliance-System zu errichten, welches die Einhaltung bestimmter Compliance-Ziele und -Standards sicherstellt. Denn die Unternehmensleitung ist ebenso dafür verantwortlich, Schaden von ihrem Unternehmen abzuwenden, wie die Geschäftsleitung eines herrschenden Unternehmens im Konzern, die zu gewährleisten hat, dass sich die Konzerngesellschaften im Interesse des herrschenden Unternehmens entwickeln und es insbesondere nicht zu Schäden der Konzerngesellschaften und damit (mittelbar) zu Schäden des herrschenden Unternehmens kommt. Aufgrund dieser Verpflichtung muss die Geschäftsleitung dafür sorgen, dass ein (konzernweites) Compliance-System eingerichtet wird, welches dazu dient, präventiv Schäden zu verhindern.

Aufgrund der Vielfalt von ESG-Verpflichtungen besteht insbesondere in diesem Bereich ein erhöhtes Schadensrisiko in Unternehmen und Konzernen und damit einhergehend ein Haftungsrisiko für die Geschäftsleitung. Die nachfolgenden Ausführungen beziehen sich auf die Implementierung eines ESG-Matrix-Compliance-Systems im Konzern. Sie lassen sich jedoch auf die Einrichtung eines solchen Systems im Unternehmen entsprechend übertragen.

Die Geschäftsleitung des herrschenden Unternehmens hat sich insbesondere die Frage zu stellen, wie sie sicherstellen kann, dass auf Ebene sämtlicher Konzerngesellschaften die jeweils zu beachtenden ESG-Verpflichtungen eingehalten werden. Insbesondere die Matrixstruktur bietet an dieser Stelle eine Antwort. So kann beispielsweise ein funktionaler Organisationsbereich ESG im Konzern implementiert werden, der auf die anderen Geschäftsbereiche durch die jeweils zuständigen Matrixmanager als Funktionsmanager einwirkt. Die jeweils für den funktionalen Organisationsbereich ESG verantwortlichen Matrixmanager haben im Rahmen der Matrixstruktur sicherzustellen, dass die jeweiligen ESG-Standards und ESG-Verpflichtungen im Konzern eingehalten werden. Dies kann beispielsweise durch Zustimmungsvorbehalte der „ESG-Matrixmanager“ sichergestellt werden: Erst nach Zustimmung der „ESG-Matrixmanager“ darf eine Maßnahme, wie die Einführung eines neuen Produktes oder die Erschließung eines neuen Marktes, durch den jeweiligen Geschäftsbereichsmanager umgesetzt werden. Die Festlegung von Zustimmungsvorbehalten kann sich hierbei an Wesentlichkeitsschwellen, der Höhe des Schadenspotenzial eines Geschäfts, zum Beispiel aufgrund hoher Bußgelder, die mit der Nichtbeachtung einer ESG-Pflicht einhergehen, und an Geschäften, die über den gewöhnlichen Geschäftsbetrieb hinausgehen, orientieren. Zudem agieren die ESG-Matrixmanager als zuständige Ansprechpartner im Konzern im Bereich ESG, sodass ein klarer Anlaufpunkt für die im Konzern Beteiligten besteht. Vorteilhaft ist zudem, dass durch die Zentralisierung des Bereichs ESG bei den „ESG-Matrixmanagern“ sämtliche Berichtslinien in diesem Zusammenhang bei den „ESG-Matrixmanagern“ zusammenlaufen, sodass diese einen Überblick über sämtliche relevante ESG-Themen im Konzern haben. Damit die „ESG-Matrixmanager“ die notwendige Wirkkraft im Konzern haben, sind diese mit den erforderlichen Weisungs- und Informationsrechten durch das herrschende Unternehmen als Matrixleitung auszustatten.

Im Rahmen des ESG-Matrix-Compliance-Systems hat das herrschende Unternehmen als Matrixleitung die übergeordneten und strategischen ESG-Grundsätze und -Ziele im Rahmen der Matrixstruktur festzulegen (zum Beispiel die übergeordneten Ziele des Konzerns im Bereich Nachhaltigkeit, den übergeordnet einzuhaltenden Wertekanon sowie die allgemeine Zielrichtung des Konzerns, wie die Einhaltung von freiwilligen ESG-Standards). Die Einhaltung und Umsetzung der von der Matrixleitung gemachten Vorgaben haben die Matrixmanager innerhalb des Konzerns durchzusetzen und zu überwachen, wobei die Matrixmanager wiederum von der Matrixleitung zu überwachen sind. 

Umsetzungsbeispiel:

Kombination von Matrixstrukturen und ESG-Themen als Königsweg

Mit der Kombination von gesellschaftsrechtlichen Matrixstrukturen und ESG-Themen geht ein Lösungsmodell einher, durch welches der Zunahme der ESG-Verpflichtungen effizient und strukturiert begegnet werden kann. Dies zeigt auch die Beratungspraxis, in welcher dieses Themenfeld rasant an Relevanz gewonnen hat; nicht nur, um verbindliche ESG-Vorgaben einzuhalten, sondern auch, um die im Unternehmen und Konzern gesetzten eigenen Nachhaltigkeitsziele zu erreichen. Zwar mag die Implementierung einer gesellschaftsrechtlichen Matrixstruktur auf den ersten Blick die Komplexität der Unternehmens- und Konzernorganisation erhöhen. Spätestens beim zweiten Blick offenbaren sich jedoch die zahlreichen Möglichkeiten für eine effiziente Gestaltung des ESG-Managements im Unternehmen und im Konzern. Ist die Matrixstruktur erst einmal juristisch korrekt aufgesetzt worden, wird die Komplexität der Matrixstruktur beherrschbar und kann diese im Vergleich zu anderen Organisationsmodellen durch die Regelung klarer Abläufe sogar deutlich verringern. 

Da sich für jedes Unternehmen und jeden Konzern unterschiedliche Herausforderungen stellen, sollte die Implementierung einer Matrixstruktur auf den jeweiligen Bedarf, insbesondere die jeweils relevanten ESG-Themen und -Verpflichtungen, zugeschnitten werden. Dadurch kann ein effektives und modernes Geschäftsleitungskonzept im Unternehmen und Konzern entstehen, welches sich mit den heutigen Anforderungen kombinieren lässt. 

Zusammen betrachtet haben Matrixstrukturen und ESG das Potenzial für einen kinoreifen Doppel-Wumms für die Corporate Governance eines jeden Unternehmens sowie Konzerns!

Der Beitrag ESG und Matrix – ein Blockbuster mit Doppel-Wumms! erschien zuerst auf CMS Blog.

Die bevorstehende finale Abstimmung des Rats zur KI-Verordnung ist ein bedeutender Meilenstein in der Regulierung künstlicher Intelligenz. Diese Verordnung wird weitreichende Auswirkungen auf Unternehmen in ganz Europa haben, insbesondere in Bezug darauf, wie Arbeitgeber Technologien einsetzen, die auf künstlicher Intelligenz basieren. Angesichts dieser Entwicklungen ist es entscheidend, dass Arbeitgeber* verstehen, welche Anforderungen und Verpflichtungen mit dieser neuen Gesetzgebung einhergehen.

Dieser Blogbeitrag zielt darauf ab, einen Überblick über die wichtigsten Aspekte der KI-Verordnung zu geben, die für Arbeitgeber besonders relevant sind. Wir werden untersuchen, welche Kategorien von KI unter die Verordnung fallen, wie diese klassifiziert werden, und welche spezifischen Compliance-Anforderungen für Unternehmen entstehen.

Ziel der KI-VO

Mit der KI-VO wird das Ziel verfolgt, menschenzentrierte und vertrauenswürdige KI zu fördern und ein hohes Schutzniveau für Gesundheit, Sicherheit, Demokratie, Rechtsstaatlichkeit und Umwelt zu gewährleisten. Gleichzeitig soll die Verordnung zur Entwicklung von Innovationen beitragen.

Zur Koordination dieser Zielrichtungen sieht die KI-VO einen risikobasierten Ansatz aus einem abgestuften System mit entsprechenden Verpflichtungen, abhängig vom jeweiligen Einsatz der KI, vor: Während für Hochrisiko-KI-Systeme und für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) spezifische Anforderungen gelten, finden grundlegende Transparenzvorschriften Anwendung auf ein breiteres Spektrum von KI-Systemen. Bestimmte KI-Praktiken, die das Verhalten einer Person durch unterschwellige Manipulations- oder Täuschungstechniken verzerren, Schwachstellen einer Person ausnutzen oder Personen auf der Grundlage ihres Sozialverhaltens im Hinblick auf nachteilige Auswirkungen bewerten (sog. Social Scoring), sind vollständig verboten.

Arbeitgeber nutzen KI-Systeme regelmäßig als Betreiber

Parlament und Rat stützen sich bei ihrer Definition von KI auf das Konzept der OECD. Demnach ist gemäß Art. 3 Nr. 1 ein KI-System ein maschinengestütztes System, das für einen in wechselndem Maße autonomen Betrieb ausgelegt ist, das nach seiner Einführung anpassungsfähig sein kann, und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ergebnisse wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen hervorgebracht werden, die physische oder virtuelle Umgebungen beeinflussen können.

Der persönliche Geltungsbereich der Verordnung umfasst in erster Linie Anbieter und Betreiber (beide Akteure) von KI-Systemen. Soweit Arbeitgeber lediglich fremdentwickelte KI-Systeme in eigener Verantwortung verwenden, gelten sie als Betreiber im Sinne der KI-VO. Ein Arbeitgeber ist nur dann als Anbieter zu qualifizieren, wenn er ein KI-System entwickelt oder entwickeln lässt und dieses System unter eigenem Namen zum Eigengebrauch in Betrieb nimmt oder wesentliche Änderungen an einem Hochrisiko-KI-System oder dem Verwendungszweck eines KI-Systems, so dass dieses zu einem Hochrisiko-KI-System wird, vornimmt.

Der betriebliche Einsatz von KI kann als hochriskant eingestuft werden

Wenn Arbeitgeber keine KI-Modelle entwickeln, die in der Lage sind, eine breite Palette unterschiedlicher Aufgaben auszuführen, sondern KI lediglich betreiben (insbesondere generative KI-Anwendungen) oder KI nur für spezifische Anwendungszwecke am Arbeitsplatz einsetzen, kommt es auf die Anforderungen an Anbieter von GPAI-Modellen gemäß Art. 53 nicht im Detail an. Vielmehr liegt der Schwerpunkt für Arbeitgeber darauf, festzustellen, ob ein KI-System als hochriskant einzustufen ist. 

In Bezug auf die Beschäftigung und das Personalmanagement sind darunter gemäß Art. 6 Abs. 2 in Verbindung mit Anhang III solche Systeme zu fassen, die bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere um gezielte Stellenanzeigen zu schalten, Bewerbungen zu sichten oder zu filtern und Bewerber zu bewerten. Ebenfalls als hochriskant gilt KI, die bestimmungsgemäß für Entscheidungen, die die Bedingungen von Arbeitsverhältnissen Beförderungen und Kündigungen von Arbeitsvertragsverhältnissen beeinflussen, für die Zuweisung von Aufgaben aufgrund des individuellen Verhaltens oder persönlicher Merkmale oder Eigenschaften oder für die Beobachtung und Bewertung der Leistung und des Verhaltens von Personen in solchen Beschäftigungsverhältnissen verwendet werden soll.

Dem liegt die Überlegung zugrunde, dass diese Systeme die künftigen Berufsaussichten, Lebensgrundlagen und Rechte der betroffenen Arbeitnehmer spürbar beeinflussen können (Erwägungsgrund 57). Insbesondere wirkt sich der Einsatz zur Überwachung der Leistung und des Verhaltens auf den Datenschutz und die Privatsphäre aus. Zudem besteht die Gefahr, dass historisch bedingte Diskriminierungsmuster, beispielsweise gegenüber Frauen, fortgeschrieben werden.

KI-Kompetenz und Transparenz sind Grundvoraussetzungen

Unabhängig vom konkreten Risikograd sind Arbeitgeber als Anbieter oder Betreiber eines KI-Systems nach Art. 4 verpflichtet, Maßnahmen zu ergreifen, um sicherzustellen, dass ihre Arbeitnehmer über ein ausreichendes Maß an KI-Kompetenz verfügen. Dabei sind vorhandene technische Kenntnisse, Erfahrungen, Aus- und Weiterbildungen sowie der Kontext, in dem die KI-Systeme eingesetzt werden sollen, zu berücksichtigen. Darüber hinaus ergeben sich aus Art. 50 allgemeine Transparenzpflichten bei direkter Interaktion des KI-Systems mit natürlichen Personen sowie bei Veröffentlichung von bestimmten KI-generierten Texten. 

Die umfangreichsten Pflichten gelten für Hochrisiko-KI-Systeme

Betreiber von Hochrisiko-KI-Systemen sind in Art. 26 zu einer Reihe von Pflichten verpflichtet, um die Sicherheit, Transparenz und Fairness im Umgang mit diesen Technologien zu gewährleisten. Zunächst müssen sie angemessene technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass das KI-System gemäß der Gebrauchsanweisung genutzt wird. Zudem besteht die Verpflichtung, dafür zu sorgen, dass die Eingabedaten der Zweckbestimmung des Hochrisiko-KI-Systems entsprechen und in Bezug auf die vorgesehene Verwendung „ausreichend repräsentativ“ sind.

Information, Speicher- und Aufsichtspflichten

Wenn Arbeitnehmer am Arbeitsplatz von einem Hochrisiko-KI-System betroffen sind, müssen sie vorab informiert werden. Existiert ein Betriebsrat, besteht ebenfalls eine Informationspflicht. Ungeachtet dessen müssen die bestehenden unionsrechtlichen und nationalen Regelungen beachtet werden, einschließlich der im Betriebsverfassungsgesetz (BetrVG) festgelegten Verpflichtungen zur Unterrichtung und Anhörung des Betriebsrats.

Des Weiteren sind Betreiber von Hochrisiko-KI-Systemen zur umfassenden Dokumentation angehalten. Dazu gehört die Speicherung von automatisch erzeugten Protokollen für mindestens sechs Monate.

Eine Herausforderung stellt auch die Pflicht zur menschlichen Aufsicht dar, da diese nicht durch jede Person durchgeführt werden kann, sondern die natürliche Person stattdessen über die erforderliche Kompetenz, Ausbildung und Befugnis verfügen soll und die Betreiber dieser die erforderliche Unterstützung zukommen lassen müssen.

Eine besondere Informationspflicht besteht, wenn Hochrisiko-KI-Systeme Entscheidungen über natürliche Personen treffen oder bei diesen Entscheidungen unterstützen. Betroffene haben in solchen Fällen ein neues Recht auf Erklärung einer Einzelfallentscheidung, wie es in Art. 86 der KI-Verordnung festgelegt ist.

Kontrollpflichten 

Die fortlaufende Überwachung des KI-Systems nach Maßgabe der Gebrauchsanweisung und die Sicherstellung seiner Außerbetriebnahme bei der begründeten Annahme, dass die Anwendung zu einem unverhältnismäßigen Risiko für Gesundheit, Sicherheit oder Grundrechte führt, sind ebenfalls wesentliche Aspekte. Zudem besteht eine Meldepflicht bei schwerwiegenden Vorfällen.

Zusammengefasst tragen Betreiber von Hochrisiko-KI-Systemen eine bedeutende Verantwortung, die nicht nur die technische und organisatorische Implementierung betrifft, sondern auch den Schutz und die Information der betroffenen Personen sowie die Überwachung und Kontrolle des Systems umfasst, um dessen sicheren und gerechten Einsatz zu gewährleisten.

Pflichten als Anbieter

In dem wohl weniger häufigen Fall, dass ein Arbeitgeber ein Hochrisiko-KI-System als Anbieter entwickelt oder entwickeln lässt, unterliegt er den Pflichten der Art. 16-21. Er muss Maßnahmen ergreifen, die es den Betreibern ermöglichen, wiederum ihre Verpflichtungen erfüllen zu können. Darüber hinaus muss ein Risikomanagementsystem zur regelmäßigen systematischen Überprüfung des KI-Systems und der Datenverwaltung eingerichtet werden. Anbieter sind verpflichtet, sich und ihre Systeme in einer EU-Datenbank registrieren zu lassen, bevor sie ein Hochrisiko-KI-System am Arbeitsplatz in Betrieb nehmen (Art. 49).

Bei Verstößen gegen die KI-VO drohen Bußgelder

Verstößt ein Arbeitgeber gegen die Art. 16 oder 26, kann er mit Geldbußen von bis zu EUR 15.000.000 oder bis zu 3 % seines gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr belegt werden.

Arbeitgeber müssen vorbereitet sein

Der Entwurf muss nun noch vom Rat förmlich gebilligt werden und wird 20 Tage nach der Veröffentlichung im Amtsblatt in Kraft treten. Die KI-VO würde dann gemäß Art. 113 Abs. 2 zwei Jahre nach ihrem Inkrafttreten anwendbar werden, mit Ausnahme einiger spezifischer Bestimmungen: Verbote werden bereits nach sechs Monaten gelten, während die Vorschriften für KI mit allgemeinem Verwendungszweck erst nach 12 Monaten gelten werden und Vorschriften hinsichtlich Hochrisiko-KI sogar erst nach 36 Monaten. Um nicht von den umfassenden Regelungskonzept der KI-VO überrascht zu werden, sollten sich Arbeitgeber bereits jetzt mit dem auf sie zukommenden Pflichtenkatalog vertraut machen.

In unserem CMS-Blog halten wir Sie mit unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend zu diesem Thema auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wie: EU-Parlament: Grünes Licht für die KI-VO; Mithilfe Künstlicher Intelligenz plötzlich Urheber?; Robo Advisor als Zukunft der Geldanlage; Künstliche Intelligenz und der Journalismus der Zukunft; Wettbewerbsrechtliche Zulässigkeit von KI-gestützter Werbung. Sehen Sie zudem gern: Eigene KI-Sprachmodelle von Unternehmen (cms.law).

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

Unseren englischsprachigen Ausblick auf die KI-VO finden Sie hier: Looking ahead to the EU AI Act (cms.law).

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag KI-Verordnung – Was Arbeitgeber wissen müssen erschien zuerst auf CMS Blog.

Am 2. Mai 2024 wurde ein neues Urteil des 4. Senats des Bundesfinanzhofs (BFH) vom 14. März 2024 zur Thematik der Ergebniskonsolidierung bei Verschmelzung von Personengesellschaften veröffentlicht (IV R 6/21). 

Hiernach kann im Jahr der Verschmelzung keine Ergebniskonsolidierung der an der Verschmelzung beteiligten Personengesellschaften, d.h. vorliegend keine Verrechnung der beim übertragenden Rechtsträger entstandenen (laufenden) Verluste mit den vom übernehmenden Rechtsträger bis zum (zurückbezogenen) steuerlichen Übertragungsstichtag erzielten Gewinne, erfolgen. 

Sachverhalt: Klägerin begehrt Verlustverrechnung

Die H-GmbH & Co. KG (KG) wurde mit notariellem Vertrag vom 3. Juli 2015 auf die Klägerin, eine GmbH & Co. KG (Klägerin), rückwirkend zu steuerlichen Buchwerten verschmolzen (Steuerlicher Übertragungsstichtag: 31. Dezember 2014, Verschmelzungsstichtag: 1. Januar 2015, Eintragung im Handelsregister bei der Klägerin: 30. Juli 2015).

Die Klägerin erstellte eine kumulierte Erklärung (gesonderte und einheitliche Feststellung von Grundlagen für die Einkommensbesteuerung für 2014), welche zusammengefasste Werte für die KG und die Klägerin enthielt. Hierbei begehrte die Klägerin eine Verrechnung der (laufenden) Verluste der H-KG mit den Gewinnen der Klägerin für das Jahr 2014, d.h. in dem Jahr, in dem der steuerliche Übertragungsstichtag lag.

Das zuständige Finanzamt nahm die begehrte Verlustverrechnung nicht vor. Ein hiergegen eingelegter Einspruch wurde als unbegründet zurückgewiesen.

Mit Urteil vom 17. Oktober 2019 (7 K 11111/17) wies das Niedersächsische Finanzgericht die hiergegen erhobene Klage als unbegründet ab.

BFH: Die Verschmelzung von Personengesellschaften stellt steuerrechtlich eine Einbringung von Betriebsvermögen in eine Personengesellschaft nach § 24 UmwStG dar

Der BFH wies die Revision als unbegründet zurück.

Da im Streitfall eine Verschmelzung im Wege der Gesamtrechtsnachfolge vorliegt (§ 20 Abs. 1 Nr. 1 UmwG), gilt § 20 Abs. 5 und Abs. 6 UmwStG entsprechend (§ 24 Abs. 4 Hs. 2 UmwStG). Hiernach ist das Einkommen und das Vermögen des Einbringenden und der übernehmenden Gesellschaft auf Antrag so zu ermitteln, als ob das eingebrachte Betriebsvermögen mit Ablauf des steuerlichen Übertragungsstichtags auf die Übernehmerin übergegangen wäre. Als steuerlicher Übertragungsstichtag (Einbringungszeitpunkt) darf in den Fällen der Sacheinlage durch Verschmelzung im Sinne des § 2 UmwG der Stichtag angesehen werden, für den die Schlussbilanz jedes der übertragenden Unternehmen im Sinne des § 17 Abs. 2 UmwG aufgestellt ist; dieser Stichtag darf höchstens acht Monate vor der Anmeldung der Verschmelzung zur Eintragung in das Handelsregister liegen (§ 20 Abs. 6 Satz 1 UmwStG). Vorliegend ist der Stichtag der Schlussbilanz im Sinne des § 17 Abs. 2 UmwG und damit steuerlicher Übertragungsstichtag (Einbringungszeitpunkt) der 31. Dezember 2014.

Diese Rückwirkung bewirkt allein, dass nicht nur das ab dem Zeitpunkt der Eintragung der Verschmelzung im Handelsregister (30. Juli 2015) erzielte Einkommen der Klägerin zuzurechnen ist, sondern bereits das im Rückwirkungszeitraum (1. Januar bis 29. Juli 2015) von der KG erzielte Einkommen. Es erfolgt aber keine Wirkung in das Jahr 2014 hinein.

Zwar werden die Umwandlungsfolgen auf den steuerlichen Übertragungsstichtag zurückbezogen, so dass ein etwaiger Übertragungsgewinn oder ein Übernahmeergebnis in dem Jahr des steuerlichen Übertragungsstichtags entsteht. Die Ergebniszurechnung beginnt allerdings erst am handelsrechtlichen Übertragungsstichtag und betrifft damit einen nach dem steuerlichen Übertragungsstichtag liegenden Zeitraum.

Keine Ergebniskonsolidierung im Verschmelzungsjahr 

Der BFH nimmt in seinem Urteil Bezug auf das dem § 2 UmwStG zugrunde liegenden Verständnis sowie weiterer bisheriger BFH-Urteile und stellt klar, dass die Umwandlungsfolgen zwar auf den steuerlichen Übertragungsstichtag zurückbezogen werden, die Ergebniszurechnung aber erst ab dem handelsrechtlichen Übertragungsstichtag erfolgt.

In einem teilweise inhaltsgleichen Urteil vom 14. März 2024 (IV R 1/24 (IV R 7/21)) nimmt der BFH ebenfalls Stellung zur Ergebniskonsolidierung bei der Verschmelzung von Personengesellschaften im Hinblick auf die Gewerbesteuer und setzt hier seine Linie fort.

Der Beitrag Keine Ergebniskonsolidierung bei Verschmelzung von Personengesellschaften im Verschmelzungsjahr erschien zuerst auf CMS Blog.

KI hält immer größeren Einzug in unser Arbeitsumfeld. In naher Zukunft wird sie kaum noch hinwegzudenken sein. Mit zunehmender Integration von KI-Systemen am Arbeitsplatz steigen allerdings auch die Herausforderungen für die Arbeitgeber*.

Nicht selten fördert das Algorithmusdesign beispielsweise bei Einstellungs- oder Beförderungsentscheidungen solche Benachteiligungen, die bereits unterbewusst in den Trainingsdaten angelegt sind. Das wirft die Frage auf, wie algorithmischen Diskriminierungen durch autonom handelnde KI-Systeme juristisch begegnet werden kann.

Das AGG bietet theoretischen Schutz, dessen Durchsetzbarkeit aber lückenhaft ist

Regulatorisches Kernstück gegen Diskriminierungen im Beschäftigungskontext ist das Allgemeine Gleichbehandlungsgesetz (AGG). Beschäftigte dürfen weder unmittelbar noch mittelbar aus Gründen der „Rasse“ oder wegen der ethnischen Herkunft, des Geschlechts, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität benachteiligt werden. Beispielhaft sei der deutliche Fall zu nennen, dass ein KI-System bei der Besetzung einer Tech-Position das männliche Geschlecht als positiven Bewertungsfaktor im Rahmen eines Motivbündels zugrunde legt, weil es die Bewerber mit der eigenen, von Männern dominierten Belegschaft vergleicht. Soweit dabei menschliches Verhalten gefordert wird, kann auf die Eingabe diskriminierungsbehafteter Daten oder (qualifiziertes) Unterlassen rechtlicher Überwachungsverpflichtungen, etwa aus der KI-Verordnung, abgestellt werden, ohne dass sich Arbeitgeber insofern der Benachteiligung wegen eines Merkmals aus § 1 AGG bewusst sein muss.

Nach der vorläufigen Einigung von Rat und Europäischem Parlament über die KI-Verordnung (KI-VO-E) soll ein Arbeitgeber, der ein Hochrisiko-KI-System betreibt, unter anderem dazu verpflichtet sein, eine Person mit der Aufsicht über die eingesetzte KI zu beauftragen und die hinreichende Repräsentanz der Eingabedaten im Hinblick auf den beabsichtigten Zweck des Hochrisiko-KI-Systems sicherzustellen. Darunter fallen jedenfalls solche Systeme, die für die Einstellung und Auswahl von Bewerbern sowie Beförderung oder Kündigung von Arbeitnehmern durch Leistungs- und Verhaltensüberwachung eingesetzt werden sollen (Art. 6 Abs. 2 KI-VO-E in Verbindung mit Anhang III).

Im Fall einer Diskriminierung stehen dem Benachteiligten Ansprüche aus § 15 AGG zu. Dass KI-Entscheidungsprozesse davon de lege lata umfasst sein können, ist Ausdruck der technologieneutralen Formulierung des AGG. Allerdings begegnen Benachteiligte bei dem Versuch der effektiven Geltendmachung der Ansprüche häufig Nachweisschwierigkeiten hinsichtlich des Kausalzusammenhangs zwischen einer Benachteiligung und einem Grund aus § 1 AGG. Dem liegt die Erwägung zugrunde, dass die autonome Funktionsweise und Entscheidungsfindung eines KI-Systems kaum nachvollziehbar ist (sog. „Blackbox-Effekt“). Gemäß der Beweiserleichterung des § 22 AGG muss der Benachteiligte zwar nur Indizien beweisen, die in einer Gesamtbetrachtung aus objektiver Sicht eine Benachteiligung wegen eines in § 1 AGG genannten Grundes mit hinreichender Wahrscheinlichkeit vermuten lassen, woraufhin die Gegenseite beweisen muss, dass eine solche Benachteiligung nicht stattgefunden hat. Gerade bei einer mittelbaren Benachteiligung, wenn etwa ein Akzent dem Bewerber bei der Erstellung eines Persönlichkeitsprofils durch eine Sprachanalyse-KI zum Nachteil gereicht, dürfte dem Benachteiligten allerdings bereits dieser Beweis schwerfallen, da er häufig schlicht nicht wissen kann, zwischen welchen Merkmalen Korrelationen hergestellt wurden. Dies mag zwar ein generelles Problem von Diskriminierungsfällen sein, bei menschlichen Entscheidungen gibt es aber im Gegensatz zu vielen KI-Entscheidungsprozessen regelmäßig keine Beweismittel (etwa Trainingsdatensätze), die den Benachteiligten verborgen bleiben.

Antidiskriminierungsstelle des Bundes will Schutz vor digitaler Diskriminierung ausweiten

Im Lichte dieser Schwierigkeiten bei der Durchsetzung von durch KI veranlassten AGG-Ansprüchen fordert die Antidiskriminierungsstelle des Bundes (ADS) in ihrem Gutachten „Automatisch benachteiligt – Das Allgemeine Gleichbehandlungsgesetz und der Schutz vor Diskriminierung durch algorithmische Entscheidungssysteme“ unter anderem eine Neuausrichtung des AGG in Bezug auf die Rolle von KI, umfassende Auskunfts- und Offenlegungspflichten, die Einblicke in die konkreten Funktionsweisen und Daten ermöglichen, sowie eine Anpassung der Beweislastumkehr bei Diskriminierung durch KI über § 22 AGG hinaus.

Damit nähert sich die ADS de lege ferenda inhaltlich in Teilen dem Vorschlag der Europäischen Kommission für eine KI-Haftungsrichtlinie (KI-Haftungs-RL-E). Die geplante KI-Haftungsrichtlinie soll zwar nur für außervertragliche verschuldensabhängige zivilrechtliche Schadensersatzansprüche gelten, bedient sich dabei jedoch der gleichen Instrumente, die auch die ADS für das AGG vorschlägt. So befasst sich Art. 3 KI-Haftungs-RL-E mit der Offenlegung von Beweismitteln, während Art. 4 KI-Haftungs-RL-E eine widerlegbare Kausalitätsvermutung aufstellt.

Um dem Problem der Undurchsichtigkeit zu begegnen, könnte ein gerichtlich durchsetzbarer Offenlegungsanspruch dementsprechend dann bestehen, wenn der Benachteiligte den Anspruchsgegner vergeblich aufgefordert hat, die ihm vorliegenden einschlägigen Beweismittel zu einem KI-System, das im Verdacht steht, eine Benachteiligung wegen eines Merkmals aus § 1 AGG verursacht zu haben, offenzulegen. Wurde etwa die Sprachanalyse-KI (s.o.) ausschließlich mit Datensätzen deutscher Muttersprachler trainiert, könnte eine Offenlegung der Datengrundlage oder Funktionsweise des Systems dem Benachteiligten zur effektiven Durchsetzung eines Anspruchs aus § 15 AGG verhelfen. Dabei müsste aber im Rahmen einer Abwägung der wechselseitigen Interessen gewährleistet sein, dass mit der Offenlegung der Beweismittel keine sensiblen Daten und Geschäftsinformationen an die Öffentlichkeit gelangen. Der Transparenzgedanke aus dem Vorschlag der ADS wird auch durch das Datenschutzrecht mittelbar abgedeckt. Art. 15 der Datenschutz-Grundverordnung (DSGVO) gewährt dem Betroffenen insoweit das Recht, von dem Verantwortlichen für die Datenverarbeitung Informationen darüber zu erhalten, welche Daten über sie gespeichert oder verarbeitet werden. Zusätzlich dazu haben sie die Möglichkeit, ergänzende Details vom Verantwortlichen zu erhalten, wie etwa Informationen über die Verarbeitungszwecke, die Herkunft der Daten (sofern diese nicht direkt von ihnen stammen) und die Empfänger, an die ihre Daten übermittelt werden. 

Neu ist die Idee eines Verbandsklagerecht der ADS zur Verfolgung systemischer Verletzungen von Diskriminierungsverboten sowie eines Rechts zur Prozessstandschaft für Antidiskriminierungsverbände, um die Betroffenen von Diskriminierung besser bei der Rechtsdurchsetzung zu unterstützen und um strukturelle Ungleichgewichte abzubauen.

Augen auf bei der Auswahl der Trainingsdatensätze

Während die KI-Verordnung nach der vorläufigen Einigung voraussichtlich noch dieses Jahr in Kraft treten wird, ist der Weg für die KI-Haftungsrichtlinie noch länger. Auf nationaler Ebene kommen die Vorschläge für eine Anpassung des AGG im Hinblick auf KI zwar zunächst nur von der ADS, eine Evaluation des AGG ist aber auch im Koalitionsvertrag von 2021 festgehalten. Vor diesem Hintergrund sollten Arbeitgeber beim Einsatz von KI bereits heute der Transparenz eine hohe Priorität einräumen und Arbeitnehmer im Umgang mit KI schulen. Zum sicheren Umgang mit KI im Betrieb können auch die Festlegungen interner Unternehmensrichtlinien dienen. Um Diskriminierungen zu vermeiden, sollte zudem ein besonderer Fokus darauf gelegt werden, dass die Trainingsdatensätze für die eingesetzten KI-Systeme keine mittelbar diskriminierenden Merkmale aufweisen.

In unserem CMS-Blog halten wir Sie mit unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend zu diesem Thema auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wie: EU-Parlament: Grünes Licht für die KI-VO; Mithilfe Künstlicher Intelligenz plötzlich Urheber?; Robo Advisor als Zukunft der Geldanlage; Künstliche Intelligenz und der Journalismus der Zukunft; Wettbewerbsrechtliche Zulässigkeit von KI-gestützter Werbung. Sehen Sie zudem gern: Eigene KI-Sprachmodelle von Unternehmen (cms.law).

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

Unseren englischsprachigen Ausblick auf die KI-VO finden Sie hier: Looking ahead to the EU AI Act (cms.law).

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag „Automatisch benachteiligt?“ – Diskriminierung beim Einsatz von KI am Arbeitsplatz erschien zuerst auf CMS Blog.

Das EU-Parlament hat am 23. April 2024 in erster Lesung die Vorschläge der EU-Kommission zur neuen Payment Services Directive 3 (PSD 3) und der sie flankierenden Payment Services Regulation (PSR) angenommen. Zuvor waren die Vorschläge der EU-Kommission durch den Ausschuss für Wirtschaft und Währung (ECON-Ausschuss) überarbeitet worden. Die vom EU-Parlament vorgenommenen Änderungen im Gesetzespaket werden nunmehr Gegenstand der weiteren Trilog-Verhandlungen sein.

Financial Data Access and Payments Package

Ausgangspunkt der Reformvorschläge war der Review der Payment Services Directive 2 (PSD 2) (Richtlinie (EU) 2015/2366) durch die EU-Kommission und die dazu am 28.06.2023 veröffentlichten Vorschläge zum Financial Data Access and Payments Package, die unter anderem eine Erneuerung der PSD 2 vorsehen. Ergänzt werden die neuen Rechtsakte zu Zahlungsdiensten durch eine Verordnung über einen Rahmen für den Zugang zu Finanzdaten, die den Datenzugang erleichtern und die Nutzung von Kundendaten verbessern soll. Hierdurch verfolgt die EU-Kommission insbesondere die Verbesserung von Kontoinformationsdiensten und Finanzinformationsdienstleistungen. 

E-Geld-Institute unterfallen künftig ebenfalls der PSD 3

Hauptteil der Novelle der PSD ist die Integration der Regelungen der zweiten E-Geld-Richtlinie (Richtlinie 2009/110/EG) als neuer Abschnitt II der PSD 3, um E-Geld-Institute künftig als Unterfall von Zahlungsinstituten derselben Aufsicht zu unterstellen. Nach Inkrafttreten der PSD 3 soll die E-Geld-Richtlinie außer Kraft treten. Trotz der weiterreichenden Anpassung bleiben gleichwohl einige Unterschiede bestehen, wie beispielsweise abweichende Zulassungsvoraussetzungen. 

Anpassung der Zahlungsdienste

Anpassungen finden sich auch bei den erfassten Zahlungsdiensten in Anhang I der PSD 3. Einige Alternativen, wie beispielsweise die Bareinzahlung und Barabhebung auf Zahlungskonten, die sich in der PSD 2 noch auf Nr. 1 und 2 aufgeteilt, wurden nun in Nr. 1 zusammengefasst. Dafür wurden die bisher bereits als alternative Tatbestände gewerteten Dienste des „Issuings“ und des „Acquirings“, die zuvor gemeinsam in Nr. 5 geregelt wurden, als eigene Tatbestände Nr. 3 und 4 aufgeteilt. Dies dürfte die Umsetzung im nationalen Recht deutlich erleichtern, inhaltlich Änderungen sind dadurch aber nicht zu erwarten. 

Keine erneute Zulassungspflicht für bestehende Zahlungsinstitute

Die Übergangsvorschriften der PSD 3 sehen keine erneute Zulassungspflicht für Zahlungsinstitute vor, die bereits über eine Erlaubnis i.S.d. Art. 11 PSD 2 verfügen. Allerdings müssen die Institute sicherstellen, dass sie innerhalb von 24 Monaten nach Inkrafttreten der neuen Regelungen diesen auch entsprechen, da anderenfalls ein Ausschluss von der Erbringung von Zahlungsdiensten droht. Hierzu wird die Einhaltung der neuen Anforderungen gegenüber den Aufsichtsbehörden entsprechend nachzuweisen sein. Gleiches gilt für E-Geld-Institute, die bereits eine Erlaubnis nach der E-Geld-Richtlinie haben; auch hier ist eine Übergangsfrist von 24 Monaten nach Inkrafttreten der neuen Regelungen vorgesehen.

Folgende vom Änderungen im Gesetzespaket sind hierbei herauszustellen: 

Reduziertes Anfangskapital 

Während im Entwurf der EU-Kommission für das Anfangskapital von E-Geld Anbietern noch eine Untergrenze von mindestens EUR 400.000 vorgesehen war, wurde diese gemäß Vorschlag des ECON-Ausschusses auf EUR 350.000 heruntergesetzt.

Grenzüberschreitende Erbringung 

Auch die Regelungen zur grenzüberschreitenden Erbringung von Zahlungsdiensten wurden im Rahmen der ECON-Beratungen angepasst. 

Zum einen wurde die grenzüberschreitende Erbringung von Zahlungsdiensten durch Agenten in Art. 19 PSD 3 durch die Änderungen des ECON-Ausschusses dahingehend modifiziert, dass nun E-Geld-Dienste von dieser Regelung ausgenommen sind. Die grenzüberschreitende Erbringung von E-Geld-Dienste richtet sich ausschließlich nach den Vorgaben des Art. 20 PSD 3.

Zum anderen wurden die Fristen für die Bearbeitung von Anträgen zur grenzüberschreitenden Erbringung angepasst. So sollen die zuständigen Behörden im Heimatstaat zehn Arbeitstage für die Weiterleitung der Unterlagen an die Behörden des Aufnahmestaates haben, woran sich für diese eine 15-tägige Bearbeitungs- und Prüfungsfrist anschließt (hier war ursprünglich jeweils eine Frist von einem Monat vorgesehen). Nach spätestens 30 Tagen sollen die zuständigen Behörden das Institut von ihrer Entscheidung in Kenntnis setzen (hier war ursprünglich jeweils eine Frist von drei Monaten vorgesehen). 

Um ausreichend über die Möglichkeit und die hierfür erforderlichen Informationen zu informieren, soll von Seiten der EU-Kommission eine spezielle Webseite hierzu eingerichtet werden (Erwägungsgrund 37a PSD 3). 

Bargeld auch ohne Kauf 

Nachdem eine Bargeldauszahlung im Einzelhandel bereits möglich war, sofern zugleich auch ein Kauf getätigt wurde, soll der Zugang zu Bargeld zukünftig noch einfacher werden. Im neuen Artikel 37 PSD 3 wird die Bargeldabhebung in Einzelhandelsgeschäften auch ohne Kauf geregelt. Hiernach sind Einzelhandelsgeschäfte von der Anwendung der Richtlinie ausgenommen, sofern sie die Bargeldabhebung in ihren Räumlichkeiten anbieten, in denen hauptberuflich Waren verkauft oder Dienstleistungen erbracht werden. Die im ursprünglichen Entwurf vorgesehene Auszahlungsgrenze von EUR 50 wurde im Rahmen der ECON-Beratungen auf EUR 100 erhöht. Neu hinzugefügt wurde auch die Voraussetzung, dass die Abhebung des Kunden nicht anonymisiert werden darf und zwingend eine Kundenauthentifizierung verwendet werden muss. 

Mehr Transparenz bei Geldautomatenbetreibern 

Daneben sieht die PSD 3 auch Regelungen zu Auszahlungen durch Geldautomatenbetreiber, die keine Zahlungskonten betreuen oder andere Zahlungsdienste erbringen vor (Artikel 38 PSD 3). Solche Dienste bedürfen keiner Zulassung, wohl aber einer Registrierung. Artikel 38 PSD 3 wurde um Absatz 4a ergänzt, der vorsieht, dass auch für die Geldautomatenbetreiber die in Artikel 7 der PSR festgelegten Grundsätzen zu Transparenz von Gebühren und Entgelten gelten und das insbesondere stets sichergestellt werden muss, dass diese bei Beginn der Leistungserbringung angezeigt werden müssen. 

„Buy now, pay later“ weiterhin auch für Zahlungsdienste relevant

Daneben werden zur Vermeidung von Unsicherheiten in der Praxis viele Begriffe neu definiert oder weiter konkretisiert. Unter anderem wird in Erwägungsgrund 35 der PSD 3 nunmehr klargestellt, dass die sog. „Buy now, pay later“-Dienste zwar grundsätzlich als Kredite anzusehen sind und als solche der Verbraucherkredite-Richtlinie (Richtlinie (EU) 2023/2225) unterfallen. Wenn sie jedoch im Zusammenspiel mit Zahlungsdiensten erbracht werden, sollen sie ebenfalls in den Anwendungsbereich der PSD 3 fallen. 

Berufshaftpflicht-Anforderungen und Anfangskapital

Das Vorhandensein einer Berufshaftpflichtversicherung für Anbieter von Zahlungsauslösediensten und Kontoinformationsdiensten war bereits durch die PSD 2 vorgesehen, nunmehr werden die Anforderungen an die abzuschließende Berufshaftpflicht beziehungsweise eine ähnliche Haftungsgarantie modifiziert. Diese Institute sollen als Alternative zur Berufshaftpflichtversicherung zukünftig ein Anfangskapital vorhalten können, wenngleich nur in der Phase der Zulassung oder Registrierung. Nach dem Vorschlag der EU-Kommission sollte durch die Berufshaftpflichtversicherung lediglich sichergestellt werden, dass die Haftungsverpflichtungen gemäß der PSR erfüllt werden können. Im Rahmen der Änderungen des ECON-Ausschusses wurde eine Haftungssumme von EUR 50.000 als Untergrenze festgelegt. 

Starken Kundenauthentifizierung

Auch die bereits in der PSD 2 enthaltenen Vorgaben zur starken Kundenauthentifizierung werden im Rahmen der PSR modifiziert. Unter der PSD 2 mussten Kunden zwei von drei Authentifizierungsfaktoren angeben: Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) und Inhärenz (etwas, das der Nutzer ist), um Zugang zu ihren Konten zu erhalten. Während der Vorschlag der EU-Kommission vorsah, dass diese zwei oder mehr Elemente nicht notwendigerweise der gleichen Kategorie angehören müssen, stellt der Standpunkt des EU-Parlaments zusätzlich klar, dass die Unabhängigkeit der Elemente jederzeit gewahrt bleiben und das Authentifizierungsverfahren jederzeit ein hohes Maß an Sicherheit gewährleisten muss. 

Wie geht es weiter

Nach der Abstimmung im Europäischen Parlament befindet sich das Gesetzespaket rund um die PSD 3 und die PSR im fortgeschrittenen Stadium des Gesetzgebungsverfahrens. Nunmehr sind die Mitgliedstaaten im Rat gefordert sich zu positionieren, damit die Trilog-Verhandlungen beginnen können. Die weiteren Schritte werden aber erst nach den Wahlen zum EU-Parlament im Juni 2024 erfolgen.

Nach Inkrafttreten sind die Regelungen der PSD 3 durch die Mitgliedstaaten umzusetzen. Hierfür ist eine Frist von 18 Monaten vorgesehen. Die Regelungen der PSR sollen nach dem Willen der EU-Kommission ebenfalls 18 Monate nach Inkrafttreten Anwendung finden. Das EU-Parlament hat den von der Kommission für die Umsetzung der PSD3 vorgeschlagenen Zeitplan beibehalten, jedoch sollen die Regelungen der PSR grundsätzlich erst 21 Monate nach ihrem Inkrafttreten gelten. 

Auch wenn noch nicht alle Punkte des Gesetzespaketes rund um die PSD 3 und die PSR final sind, sollten Zahlungsinstitute sich spätestens jetzt mit den künftigen Regelungen auseinandersetzen und deren Umsetzung in Angriff nehmen. 

Der Beitrag PSD 3 / PSR – EU Payment Package nimmt nächste Hürde erschien zuerst auf CMS Blog.

Immer mehr Unternehmen setzen KI-Systeme im HR-Bereich ein. Eine wesentliche datenschutzrechtliche Vorschrift in diesem Zusammenhang ist Art. 22 Abs. 1 DSGVO. Danach hat jede Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. 

Am 7. Dezember 2023 sorgte der EuGH mit seinem sog. Schufa-Urteil (EuGH, Urteil v. 7. Dezember 2023 – C-634/21) für mediale Aufruhr, da sich das in Luxemburg ansässige oberste rechtsprechende Organ der Europäischen Union zu dem sog. Schufa-Scoring äußerte. Was das Urteil für den Einsatz von KI im HR-Bereich bedeutet, zeigt dieser Beitrag.

EuGH sollte klären, ob das Scoring-Verfahren der Schufa eine „automatisierte Entscheidung im Einzelfall“ im Sinne von Art. 22 Abs. 1 DSGVO darstellen könne 

Der Klägerin wurde von ihrer Bank wegen eines unzureichenden Schufa-Scores das gewünschte Darlehen verwehrt. Gegen die Verweigerung der Datenauskunft erhob sie Klage vor dem Verwaltungsgericht Wiesbaden, welches wiederum den EuGH im Rahmen eines Vorabentscheidungsverfahrens anrief. 

Der EuGH musste die Frage klären, ob das Scoring-Verfahren der Schufa eine „automatisierte Entscheidung im Einzelfall“ im Sinne von Art. 22 Abs. 1 DSGVO darstelle, wenn davon auszugehen ist, dass die Ablehnung des Darlehens praktisch allein auf das Scoring zurückgehe. Fragwürdig war die rechtliche Einordnung des Schufa-Scores deshalb, weil nicht die Schufa als solche die endgültige Entscheidung — beispielsweise hinsichtlich einer Darlehensgewährung — trifft, sondern die Schufa lediglich Dritten einen Wahrscheinlichkeitswert liefert, der Auskunft darüber geben soll, wie gut oder schlecht eine Person ihre finanziellen Verpflichtungen erfüllen wird.

EuGH: Mensch versus Maschine – breites Verständnis von „Entscheidung“

Mit deutlichen Worten erklärte der EuGH, eine regelmäßig unzulässige, auf einer automatisierten Verarbeitung beruhende Entscheidung im Einzelfall im Sinne von Art. 22 Abs. 1 DSGVO liege nicht erst dann vor, wenn es tatsächlich zu einer Entscheidung beispielsweise über die Begründung, Durchführung oder Beendigung eines Vertrags kommt. Der Terminus „Entscheidung“ sei vor dem Hintergrund des Schutzzweckes der Norm weit auszulegen und dürfe nicht durch ein Drei-Parteien-Verhältnis ausgehebelt werden. Daher genüge bereits die Ermittlung eines im Scoring der Schufa zu erblickenden Wahrscheinlichkeitswerts durch einen Dritten*, sofern dieser Wert die daraufhin vorgenommene eigentliche Entscheidung „maßgeblich“ beeinflusst. Was indes unter dem Merkmal der „Maßgeblichkeit“ der Beeinflussung zu verstehen sein soll, wie weit also umgekehrt der finale menschliche Entscheidungsrahmen reichen muss, ließ der EuGH unbeantwortet.

Automatisierte Entscheidungsfindung im HR-Bereich

Steht mit dem EuGH fest, dass entgegen bisheriger Annahmen beachtlicher Stimmen der Rechtslehre eine automatisierte Entscheidung bereits dann anzunehmen ist, wenn eine automatisierte Entscheidungsvorbereitung durch Dritte maßgeblich weiterverwendet wird, um eine rechtliche Entscheidung (z.B. über einen Vertragsschluss) zu treffen, so stellt sich unweigerlich die Frage nach der Trag- und der Reichweite der Worte aus Luxemburg für den HR-Bereich.

Viele KI-Anwendungen erstellen oftmals ähnlich wie die Schufa-Auskunftei Analysen, die der „eigentlichen“ Entscheidungsfindung vorgeschaltet sind, weshalb auch in diesen Fällen nun jeweils spiegelbildlich zu prüfen sein wird, ob und inwieweit eine automatisierte Entscheidungsfindung anzunehmen ist. Denn sofern solche automatischen Analysen praktisch das Ergebnis der von der KI eigenständig vorgenommenen Würdigung von schwerlich nachvollziehbaren Kriterien und Algorithmen abbilden, sind sie mit der Methodik der angekreideten Schufa-Scoring ohne Weiteres vergleichbar. Entsprechend bedarf es auch hier einer Verbindung mit einer menschlichen Einschätzung. Die final entscheidende Person muss indes einerseits die erforderliche Sachkunde aufbringen, insbesondere muss ihr aber andererseits ausreichend Zeit zugebilligt werden, die lediglich automatisierte Vorbewertung ausreichend zu prüfen und eine eigene Sachentscheidung zu treffen. 

Prüfungsschritte

Gleichwohl ist es nicht möglich, die Schlussfolgerungen des Schufa-Urteils unmittelbar auf den Einsatz aller KI-Anwendungen zu übertragen. Stattdessen ist jeweils im Dreischritt, 

1. Vorliegen einer Entscheidung, 
2. Beruhen der Entscheidung ausschließlich auf automatisierter Verarbeitung und 3.
3. Entfaltung rechtlicher Wirkung gegenüber der betroffenen Person bzw. deren erhebliche Beeinträchtigung), 

sorgsam zu prüfen, ob die konkrete KI-Anwendung in den Anwendungsbereich von Art. 22 Abs. 1 DSGVO und damit unter die strengen Regularien des EuGH zu fassen ist. 

Als veranschaulichendes Beispiel mag hierbei Microsoft Purview dienen: Hierbei handelt es sich um eine Plattform für das Daten-, Governance- und Compliance-Management, die Unternehmen dabei unterstützen soll, Daten über verschiedene Cloud- und On-Premises-Umgebungen hinweg zu verwalten. Durch die integrierte KI soll eine effizientere Datenklassifizierung und entsprechende Überwachung erreicht werden. Es sollen automatisch bestimmte Daten identifiziert und klassifiziert werden, um letztlich eine fundierte Entscheidungsfindung zu fördern.

Betrachtet man die Mechanismen genauer, so ist festzustellen, dass Arbeitgeber über Purview keine Entscheidungen durchführen, die ausschließlich auf automatisierter Verarbeitung beruhen, ferner entfalten die durch Purview generierten Aussagen keine rechtliche Wirkung gegenüber Mitarbeitenden und beeinträchtigen sie auch nicht erheblich. Anders als die externen Bewertungen im Zusammenhang mit dem Schufa-Score zielen die mittels Purview generierten internen Risikoanalysen darauf ab, Arbeitgeber vor Insiderrisiken zu schützen. Die individuellen Personen der Belegschaft werden dabei nicht beurteilt. Stattdessen richtet sich die Bewertung auf die durchgeführten Aktivitäten der Datenexfiltration, also die Handlungen. Die eigentliche Auswertung der aufgedeckten Risiken und somit das Letztentscheidungsrecht liegt zudem notwendigerweise nicht bei der Maschine, sondern beim Menschen. Sofern ein durch Purview aufgedeckter Vorgang im Einzelfall tatsächlich zu arbeitsrechtlichen Konsequenzen bis hin zur Abmahnung oder Kündigung von Mitarbeitenden führt, so hat solchen Maßnahmen eine sorgsame, mit menschlichem Urteilsvermögen vorgenommene Aufklärung vorauszugehen – dann wird es zumindest an der „Maßgeblichkeit“ fehlen.

Ausnahmen vom Verbot automatisierter Entscheidungen

Mit der Entscheidung des EuGH zum Schufa-Scoring wurde der bisherige, lückenhafte DSGVO-Rechtsrahmen zu KI bewusst oder unbewusst auf viele neue Bereiche ausgedehnt. Ob ein Einsatz einer KI-Anwendung vergleichbar zum Schufa-Vorgang unter die Tatbestandsmerkmale des Art. 22 Abs. 1 DSGVO fällt, muss im Einzelfall entschieden werden. Soweit ein entsprechend zulässiger Datenverarbeitungsvorgang tatsächlich vorliegt, kann die Verwertung der Ergebnisse überdies legitimiert sein. Die automatisierte Einzelentscheidung, die eine rechtliche Folge hat oder die bzw. den Betroffene(n) erheblich beeinträchtigt, ist zulässig, wenn sie für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und der/dem Verantwortlichen erforderlich ist oder er mit gesetzgeberischer Erlaubnis oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt (Art. 22 Abs. 2 DSGVO). Ob eine deutsche Vorschrift – insbesondere § 31 BDSG – als tauglicher Rechtfertigungsgrund herangezogen werden kann, hatte der EuGH im Schufa-Vorgang zwar offenlassen dürfen, jedoch starke Zweifel angemerkt. 

In unserem CMS-Blog halten wir Sie mit unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend zu diesem Thema auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wie: EU-Parlament: Grünes Licht für die KI-VO; Mithilfe Künstlicher Intelligenz plötzlich Urheber?; Robo Advisor als Zukunft der Geldanlage; Künstliche Intelligenz und der Journalismus der Zukunft; Wettbewerbsrechtliche Zulässigkeit von KI-gestützter Werbung. Sehen Sie zudem gern: Eigene KI-Sprachmodelle von Unternehmen (cms.law).

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

Unseren englischsprachigen Ausblick auf die KI-VO finden Sie hier: Looking ahead to the EU AI Act (cms.law).

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Auswirkungen des Schufa-Urteils des EuGH auf den Einsatz von KI im HR-Bereich erschien zuerst auf CMS Blog.

Bei Verstößen gegen die europäische Datenschutz-Grundverordnung (DSGVO) können die Aufsichtsbehörden empfindliche Bußgelder verhängen. Nach anfänglicher Zurückhaltung der deutschen Aufsichtsbehörden sind mittlerweile Bußgelder im Millionenbereich keine Überraschung mehr. 

Zugleich können natürliche Personen bei einem DSGVO-Verstoß Schadensersatz verlangen. Über Art. 82 DSGVO steht betroffenen Personen ein eigener deliktischer Anspruch gegen datenverarbeitende Unternehmen zu. Bedenkt man, dass DSGVO-Verstöße oftmals große Datenbestände und somit häufig tausende oder gar hunderttausende Personen betreffen, können sich die Ansprüche schnell kumulieren (Klagewelle wegen Schadensersatz nach Datenschutzverstoß? (cmshs-bloggt.de); DSGVO-Massenverfahren vor der Tür? (cms.law)). 

Voraussetzungen des Art. 82 DSGVO

Um Schadensersatz zuzusprechen, muss das angerufene Gericht prüfen, ob die Anspruchsvoraussetzungen von Art. 82 DSGVO erfüllt sind. Unter anderem mit Urteilen vom 4. Mai 2023 und 14. Dezember 2023 hat sich der EuGH zu den Voraussetzungen des DSGVO-Schadensersatzanspruchs geäußert und beispielsweise der Annahme einer Erheblichkeitsschwelle, wie sie einige Gerichte forderten, eine Absage erteilt. Darüber hinaus hat der EuGH entschieden, dass nicht jeder Verstoß gegen eine Vorschrift der DSGVO automatisch einen nach Art. 82 DSGVO ersatzfähigen Schaden darstellt. Vielmehr müsse ein auf dem DSGVO-Verstoß kausal beruhender materieller oder immaterieller Schaden nachgewiesen und festgestellt werden.

Unsere Übersicht über die Rechtsprechung zum DSGVO-Schadensersatz

Die nachfolgende Übersicht dokumentiert die bisherige Auslegungs- und Entscheidungspraxis des EuGH und der (zumeist) deutschen Gerichte. Sie können die Darstellung mit den Pfeilen in den jeweiligen Spalten nach Gericht, Entscheidungsdatum, Art des DSGVO-Verstoßes, Ergebnis und zugesprochener Schadensersatzsumme sortieren lassen. Sofern Sie zu den Entscheidungen weitere Informationen wünschen und auf den Button „+″ klicken, erhalten Sie Angaben zu folgenden Kriterien:

• Fundstelle: Vollständige Fundstelle inkl. Aktenzeichen und (soweit verfügbar) Verlinkung auf den Volltext der Entscheidung u.a. auf den Webseiten der Gerichte, bei juris und einer Zeitschriften-Fundstelle.

• Verfahrensgang: Informationen zu Entscheidungen anderer Instanzen in dem Verfahren. Verfahren, in denen nachfolgende Instanzen rechtskräftig entschieden haben, sind in dieser Übersicht als Vorinstanz nur dann als eigener Eintrag enthalten, wenn sich die Gerichte widersprechen. Ansonsten wird der Übersichtlichkeit halber auf die eigene Darstellung vorheriger Instanzen verzichtet.

• Sachverhalt: Angabe zum Verletzungsvorwurf und den betroffenen personenbezogenen Daten.

• DSGVO-Verstoß: Gerichtlich festgestellter Verstoß gegen die DSGVO (Pflichtverletzung und haftungsbegründende Kausalität); sofern wir eine eigene Interpretation zum DSGVO-Verstoß vorgenommen haben, ist dies durch den Hinweis″Anmerkung CMS″ kenntlich gemacht.

• Schadensersatz: Erläuterung zum Bestehen des Schadensersatzanspruchs, des Schadens und der haftungsausfüllenden Kausalität; die Höhe des Schadensersatzes ist in der Spalte „Betrag″ dargestellt.

• Verantwortlichkeit: Ausführungen (soweit vorhanden) zur Verantwortlichkeit sowie zur Frage des Entlastungsbeweises nach Art. 82 Abs. 3 DSGVO.

Zur besseren Übersicht verwenden wir dabei die folgenden Symbole: 

• = Schadensersatz zugesprochen/Haftungsvoraussetzung erfüllt
• = Schadensersatz abgelehnt/Haftungsvoraussetzung nicht erfüllt
• = Frage offen gelassen/Kriterium nicht anwendbar

Keine Updates verpassen 

Unsere Übersichten werden regelmäßig aktualisiert, sobald der Volltext der Entscheidung veröffentlicht wurde, zuletzt am 24. April 2024, ohne Anspruch auf Vollständigkeit zu erheben. Klicken Sie auf „Updates erhalten“ und teilen Sie uns Ihre E-Mail-Adresse mit, wenn Sie über wesentliche Updates dieses Artikels zur DSGVO-Schadensersatzpraxis und allgemein zum Datenschutz von CMS informiert werden möchten. Sie können Ihre Einwilligung jederzeit widerrufen. Unsere Datenschutzhinweise finden Sie hier. 

Grafische Übersicht zur Zahl der Entscheidungen if (typeof (wpDataCharts) == 'undefined') wpDataCharts = {}; wpDataCharts[2] = { render_data: {"options":{"data":{"labels":["Mai 2018","Juni 2018","Juli 2018","Aug. 2018","Sept. 2018","Okt. 2018","Nov. 2018","Dez. 2018","Jan. 2019","Feb. 2019","M\u00e4rz 2019","Apr. 2019","Mai 2019","Juni 2019","Juli 2019","Aug. 2019","Sept. 2019","Okt. 2019","Nov. 2019","Dez. 2019","Jan. 2020","Feb. 2020","M\u00e4rz 2020","Apr. 2020","Mai 2020","Juni 2020","Juli 2020","Aug. 2020","Sept. 2020","Okt. 2020","Nov. 2020","Dez. 2020","Jan. 2021","Feb. 2021","M\u00e4rz 2021","Apr. 2021","Mai 2021","Juni 2021","Juli 2021","Aug. 2021","Sept. 2021","Okt. 2021","Nov. 2021","Dez. 2021","Jan. 2022","Feb. 2022","M\u00e4rz 2022","Apr. 2022","Mai 2022","Juni 2022","Juli 2022","Aug. 2022","Sept. 2022","Okt. 2022","Nov. 2022","Dez. 2022","Jan. 2023","Feb. 2023","M\u00e4rz 2023","Apr. 2023","Mai 2023","Juni 2023","Juli 2023","Aug. 2023","Sept. 2023","Okt. 2023","Nov. 2023","Dez. 2023","Jan. 2024","Feb. 2024"],"datasets":[{"label":"Unbefugte Datenabfl\u00fcsse und -weitergaben","orig_header":"Unbefugte Datenabfl\u00fcsse und -weitergaben","backgroundColor":"rgba(13,83,95,0.2)","borderColor":"#0D535F","borderWidth":1,"data":[0,0,0,0,0,0,0,1,1,2,3,3,3,3,3,3,3,3,3,3,4,4,5,5,6,6,8,10,13,16,16,18,19,22,25,25,25,25,26,28,28,30,34,37,41,43,45,46,48,49,49,50,53,53,53,54,57,60,65,66,67,67,67,71,73,74,76,79,81,81],"lineTension":0,"fill":true},{"label":"Nicht erf\u00fcllte Auskunftspflichten","orig_header":"Nicht erf\u00fcllte Auskunftspflichten","backgroundColor":"rgba(0,122,53,0.2)","borderColor":"#007A35","borderWidth":1,"data":[0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,1,1,1,1,2,3,3,3,3,3,3,3,3,4,5,7,7,8,10,11,12,12,13,13,13,14,15,16,16,16,16,16,17,20,22,24,24,24,25,26,30,30,31,34,35,35,35],"lineTension":0,"fill":true},{"label":"Nicht erf\u00fcllte L\u00f6schpflichten","orig_header":"Nicht erf\u00fcllte L\u00f6schpflichten","backgroundColor":"rgba(251,186,0,0.2)","borderColor":"#FBBA00","borderWidth":1,"data":[0,0,0,0,0,0,0,0,0,0,1,1,1,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,3,3,3,3,3,3,3,3,4,4,4,4,4,4,5,5,5,5,5,5,5,5,5,5,5,5,5,5,5,5,5,5,5,7,7,7,7,7,7,7,7],"lineTension":0,"fill":true},{"label":"Unbefugte Werbung","orig_header":"Unbefugte Werbung","backgroundColor":"rgba(228,0,57,0.2)","borderColor":"#E40039","borderWidth":1,"data":[0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0],"lineTension":0,"fill":true},{"label":"Unbefugte Datenverarbeitung","orig_header":"Unbefugte Datenverarbeitung","backgroundColor":"rgba(66,35,115,0.2)","borderColor":"#422373","borderWidth":1,"data":[0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,2,2,2,2,2,2,2,2,2,2,2,2,3,4,6,6,6,8,9,10,11,11,11,12,13,13,14,14,16,16,17,17,19,20,21,21,21,21,23,23,24,24,24,24,24,25,25,25],"lineTension":0,"fill":true},{"label":"Kontosperrungen in sozialen Netzwerken und L\u00f6schung von Kommentaren","orig_header":"Kontosperrungen in sozialen Netzwerken und L\u00f6schung von Kommentaren","backgroundColor":"rgba(255,159,64,0.2)","borderColor":"#FF9F40","borderWidth":1,"data":[0,0,0,0,0,0,0,0,0,0,0,0,0,1,1,1,1,1,1,2,2,2,2,2,2,2,2,3,3,3,3,3,3,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4,4],"lineTension":0,"fill":true},{"label":"Sonstiges","orig_header":"Sonstiges","backgroundColor":"rgba(166,206,227,0.2)","borderColor":"#A6CEE3","borderWidth":1,"data":[0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,2,3,4,5,5,5,5,5,5,5,5,5,5,6,6,6,6,6,6,6,7,7,7,7,7,7,7,7,7,7,7,7],"lineTension":0,"fill":true},{"label":"Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform","orig_header":"Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform","backgroundColor":"rgba(0,118,143,0.2)","borderColor":"#00768F","borderWidth":1,"data":[0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,3,5,10,23,44,70,76,90,104,104,106,111,112,115,122,124,124],"lineTension":0,"fill":true}]},"options":{"maintainAspectRatio":true,"scales":{"x":{"title":{"display":true,"text":"","font":{"size":12,"weight":"normal","style":"normal","family":"Open Sans"},"color":"#000000"},"ticks":{"color":"#000000","font":{"size":12,"weight":"normal","style":"normal","family":"Open Sans"}}},"y":{"title":{"display":true,"text":"Zahl der Entscheidungen","font":{"size":12,"weight":"normal","style":"normal","family":"Open Sans"},"color":"#000000"},"beginAtZero":false,"ticks":{"color":"#000000","font":{"size":12,"weight":"normal","style":"normal","family":"Open Sans"}}}},"plugins":{"title":{"display":false,"position":"top","font":{"family":"Arial","weight":"bold","style":"normal","size":12},"color":"#666"},"tooltip":{"enabled":true,"mode":"nearest","intersect":true,"backgroundColor":"rgb(0,0,0)","cornerRadius":"3","titleFont":{"size":12},"bodyFont":{"size":12},"footerFont":{"size":12}},"legend":{"display":true,"position":"bottom","labels":{"color":"#000000","font":{"size":12,"weight":"normal","style":"normal"}}}}},"globalOptions":{"font":{"size":12,"family":"Open Sans","style":"normal","weight":"normal"},"color":"#000000"}},"configurations":{"type":"chartjs_stacked_column_chart","container":{"height":600,"width":0},"canvas":{"backgroundColor":"","borderWidth":0,"borderColor":"","borderRadius":0}}}, engine: "chartjs", type: "chartjs_stacked_column_chart", title: "DSGVO Schadensersatz_Anzahl Urteile charts.js", container: "wpDataChart_2", follow_filtering: 0, wpdatatable_id: 5, group_chart: 0 } Entscheidungen Gericht Datum Fundstelle Art des Verstoßes Verfahrensgang Ergebnis Betrag Sachverhalt DSGVO-Verstoß Schadensersatz Verantwortlichkeit Ergebnis OLG Dresden 11.06.19 OLG Dresden, Hinweisbeschluss vom 11. Juni 2019 – 4 U 760/19; OLG Dresden: Kein Schadensersatzanspruch nach DSGVO (cmshs-bloggt.de) Kontosperrungen in sozialen Netzwerken und Löschung von Kommentaren LG Görlitz, Versäumnisurteil vom 22. März 2019 – 6 O 94/18. 0 Dreitägige Sperrung eines Facebook-Nutzerkontos und Löschung eines Beitrags (aufgrund eines Verstoßes gegen die Nutzungsbedingungen). Kein DSGVO-Verstoß (Datenverarbeitung sei nach Art. 6 Abs. 1 lit. a) DSGVO zulässig wegen Zustimmung zu Nutzungsbedingungen). Bagatellverstoß dem Gericht zufolge nicht ausreichend; Hemmung der Persönlichkeitsentfaltung habe nur Bagatellcharakter (mangels Kommerzialisierung der Nutzerdaten). — Weitere Entscheidungen zu Kommentarlöschungen und Nutzerkontensperrungen: OLG Hamm, Urteil vom 21. Juli 2023 – 12 U 53/22, GRUR-RS 2023, 47278; OLG München, Urteil vom 20. September 2022 – 18 U 6314/20 Pre, GRUR-RS 2022, 29943; OLG Frankfurt a.M., Urteil vom 30. Juni 2022 – 16 U 229/20, GRUR-RS 2022, 15047; OLG Karlsruhe, Urteil vom 26. April 2022 – 14 U 270/20, GRUR-RS 2022, 11300; OLG Dresden, Urteil vom 8. März 2022 – 4 U 1050/21, NJW-RR 2022, 1207; OLG Celle, Urteil vom 20. Januar 2022 – 13 U 84/19; OLG Braunschweig, Urteil vom 5. Februar 2021 – 1 U 9/20, GRUR-RS 2020, 41161 (juris); OLG Dresden, Urteil vom 12. Januar 2021 – 4 U 1600/20, BeckRS 2021, 987, NJW-RR 2021, 428; OLG Dresden, Urteil vom 20. August 2020 – 4 U 784/20 (DSGVO-Schadensersatzansprüche – wie viel sind sie wert? (cmshs-bloggt.de)); OLG Bamberg, Beschluss vom 6. Februar 2020 – 8 U 246/19, GRUR-RS 2020, 38642; LG Mannheim, Urteil vom 13. Mai 2020 – 14 O 32/19, GRUR-RS 2020, 10334; OLG Dresden, Hinweisbeschluss vom 11. Dezember 2019 – 4 U 1680/19, BeckRS 2019, 36042 (juris). LAG Hamm 11.05.21 LAG Hamm, Urteil vom 11. Mai 2021 – 6 Sa 1260/20, BeckRS 2021, 21866 (juris) Nicht erfüllte Auskunftspflichten Das BAG, Urteil vom 5. Mai 2022 – 2 AZR 363/21, NJW 2022, 2779 (juris) hat die Berufung gegen das Urteil des LAG Hamm zurückgewiesen; zum Verfahrensgang: ArbG Herne, Urteil vom 4. September 2020 – 5 Ca 178/20). Das ArbG Herne (5 Ca 178/20) hatte den Anspruch abgelehnt. 1.000 Eine Arbeitnehmerin forderte von ihrem Arbeitgeber Auskunft über die gespeicherten Daten, insb. zur Arbeitszeiterfassung. Dieser Aufforderung kam der Arbeitgeber nicht vollständig nach. Verstoß gegen Art. 15 DSGVO. ArbG Düsseldorf 05.03.20 ArbG Düsseldorf, Urteil vom 5. März 2020 – 9 Ca 6557/18, BeckRS 2020, 11910 (juris) Nicht erfüllte Auskunftspflichten Anhängig beim LAG Düsseldorf – 14 Sa 294/20 (juris). 5.000 Verspätete und fehlerhafte Unterrichtung über Datenverarbeitung durch Arbeitgeber infolge der Beendigung eines Arbeitsverhältnisses. Verstoß gegen Art. 15 Abs. 1 und Art. 12 Abs. 1, 3 DSGVO. Das Gericht zieht Art. 83 Abs. 2 DSGVO zur Ermittlung der Höhe des zu leistenden Betrages heran. Immaterieller Schaden wegen Ungewissheit über Verarbeitung der Daten. Die Finanzkraft des Verantwortlichen sei dem Gericht zufolge zu berücksichtigen. Nur fahrlässige Verstöße (keine Anhaltspunkte für Vorsatz). LAG Berlin-Brandenburg 18.11.21 LAG Berlin-Brandenburg, Urteil vom 18. November 2021 – 10 Sa 443/21, BeckRS 2021, 47685 (juris) Nicht erfüllte Auskunftspflichten Anhängig beim BAG – 8 AZR 91/22; ArbG Berlin, Urteil vom 21. Januar 2021 – 27 Ca 11237/19, BeckRS 2021, 47686. 2.000 Nicht ordnungsgemäß erteilte Auskunft nach Art. 15 DSGVO. — Oberster Gerichtshof der Republik Österreich (OGH) 23.06.21 Oberster Gerichtshof der Republik Österreich (OGH), Teilurteil vom 23. Juni 2021 – 6 Ob 56/21k, BeckRS 2021, 19302 Nicht erfüllte Auskunftspflichten — 500 Der Kläger (Datenschutzaktivist Maximilian Schrems) erhielt eine unvollständige und verspätete Auskunft über die zu ihm bei dem sozialen Netzwerk Facebook gespeicherten Informationen. Verspätete und unvollständige Auskunft nach Art. 15 DSGVO. LAG Hessen 27.01.23 LAG Hessen, Urteil vom 27. Januar 2023 – 14 Sa 359/22, BeckRS 2023, 27030 (juris) Nicht erfüllte Auskunftspflichten ArbG Wiesbaden, Urteil vom 29. November 2021 – 10 Ca 321/21. 1.000 Unterlassene Auskunft an ehemalige Arbeitnehmerin nach Art. 15 DSGVO. — / Verstoß gegen Art. 13 und Art. 15 DSGVO. / Das Gericht bejahte lediglich einen Anspruch auf Schadensersatz wegen der Verletzung von Art. 15 DSGVO, nicht aber wegen einer Verletzung von Art. 13 DSGVO, da es insofern bereits an einer zulässigen Klage mangele. — LAG Hannover 22.10.21 LAG Hannover, Urteil vom 22. Oktober 2021 – 16 Sa 761/20, BeckRS 2021, 32008 (juris) Nicht erfüllte Auskunftspflichten Das BAG, Beschluss vom 3. März 2022 – 8 AZN 763/21, Beschluss vom 6. Januar 2022 – 2 AZN 765/21, hat die Berufung gegen das Urteil des LAG Hannover verworfen (juris); zum Verfahrensgang: ArbG Braunschweig, Urteil vom 11. Mai 2021 – 8 Ca 451/18 (juris). 1.250 Nicht ordnungsgemäß und verspätet erteilte Auskunft nach Art. 15 DSGVO. Verstoß gegen Art. 15 Abs. 1 DSGVO bei seit Geltung der DSGVO erfolgten Pflichtverletzungen. Anspruch nicht von Überschreiten einer Erheblichkeitsschwelle abhängig; Schwere und erlittene Beeinträchtigungen können bei der Bemessung der Höhe des Anspruchs berücksichtigt werden. OLG Köln 14.07.22 OLG Köln, Urteil vom 14. Juli 2022 – 15 U 137/21, GRUR-RS 2022, 17897 (juris) Nicht erfüllte Auskunftspflichten LG Bonn, Urteil vom 1. Juli 2021 – 15 O 356/20; siehe auch: OLG Köln, Beschluss vom 28. Juni 2022 – 15 U 139/21; LG Bonn, Urteil vom 1. Juli 2021 – 15 O 355/20. 500 Acht Monate verspätet erteilte Auskunft eines Anwalts an eine ehemalige Mandantin nach Art. 15 DSGVO. Verstoß gegen Art. 15 DSGVO. Die klagende Partei empfand Stress und Sorge hinsichtlich der Bearbeitung des Mandats. LAG Baden-Württemberg 28.07.23 LAG Baden-Württemberg, Urteil vom 28. Juli 2023 – 9 Sa 73/21, BeckRS 2023, 28186 (juris) Nicht erfüllte Auskunftspflichten LAG Baden-Württemberg, Berichtigungsbeschluss vom 21. August 2023 – 9 Sa 73/21; ArbG Villingen-Schwenningen, Urteil vom 26. Oktober 2021 – 7 Ca 59/20; anhängig beim BAG – 8 AZR 215/23. 2.500 Unzureichend erfüllte Auskunftserteilung nach dem Ende eines Arbeitsverhältnisses u.a. hinsichtlich Wegnahme eines privaten USB-Sticks mit persönlichen Daten. Verstoß gegen Art. 15 DSGVO. ArbG Bamberg 11.05.22 ArbG Bamberg, Urteil vom 11. Mai 2022 – 2 Ca 942/20, BeckRS 2022, 45171 Nicht erfüllte Auskunftspflichten LAG Nürnberg, Urteil vom 25. Januar 2023 – 4 Sa 201/22; anhängig beim BAG – 8 AZR 124/23. 4.000 Verspätet erteilte Auskunft nach Art. 15 DSGVO durch ehemaligen Arbeitgeber. Verstoß gegen Art. 15 DSGVO. Das Gericht zieht Art. 83 Abs. 2 DSGVO zur Ermittlung der Höhe des zu leistenden Betrages heran. ArbG Neumünster 11.08.20 ArbG Neumünster, Urteil vom 11. August 2020 – 1 Ca 247 c/20, BeckRS 2020, 29998 (juris) Nicht erfüllte Auskunftspflichten — 1.500 Um drei Monate verspätete Auskunft über die im Arbeitsverhältnis durch den Arbeitgeber verarbeiteten personenbezogenen Daten des ehemaligen Arbeitnehmers (Anspruch steht im Zusammenhang mit einer Kündigungsschutzklage). Verstoß gegen Art. 15 DSGVO. Geringer immaterieller Schaden (insb. Ungewissheit über Verarbeitung der Daten); EUR 500 pro Monat der verspäteten Auskunft. Fahrlässige Verstöße (keine Anhaltspunkte für Vorsatz / bewusste und gewollte Verspätung). ArbG Oldenburg 09.02.23 ArbG Oldenburg, Urteil vom 9. Februar 2023 – 3 Ca 150/21, BeckRS 2023, 3950 (juris) Nicht erfüllte Auskunftspflichten Anhängig beim LAG Niedersachsen – 12 Sa 219/23. 10.000 Um 20 Monate verspätet erteilte Auskunft an ehemaligen Arbeitnehmer nach Art. 15 DSGVO. Verstoß gegen Art. 15 DSGVO. Bereits der DSGVO-Verstoß führe zu einem zu ersetzenden immateriellen Schaden. Das Gericht bejaht EUR 500 für jeden Monat, in dem die Auskunftspflicht nicht erfüllt wurde. ArbG Duisburg 23.03.23 ArbG Duisburg, Urteil vom 23. März 2023 – 3 Ca 44/23, BeckRS 2023, 10513 (juris) Nicht erfüllte Auskunftspflichten LAG Düsseldorf, Urteil vom 28. November 2023 – 3 Sa 285/23. 10.000 Verspätet und unvollständig erteilte Auskunft an ehemaligen Arbeitnehmer nach Art. 15 DSGVO. Verstoß gegen Art. 15 DSGVO. Das Gericht zieht Art. 83 Abs. 2 DSGVO zur Ermittlung der Höhe des zu leistenden Betrages heran. Der Betrag setze sich aus EUR 2.500 für jeweils zwei inhaltliche Verstöße gegen Art. 15 Abs. 1 DSGVO und aus EUR 5.000 für die vorsätzlich verspätete Auskunft zusammen. ArbG Dresden 11.01.23 ArbG Dresden, Urteil vom 11. Januar 2023 – 4 Ca 688/22, BeckRS 2023, 1716 Nicht erfüllte Auskunftspflichten — 2.500 Unvollständig und verspätet erteilte Auskunft an ehemalige Arbeitnehmerin nach Art. 15 DSGVO im Zusammenhang mit der Erfassung und Übermittlung von Impfdaten während der Corona-Pandemie sowie erfolgter Kündigung des Arbeitsverhältnisses. Verstoß gegen Art. 15 DSGVO. Das Gericht zieht Art. 83 Abs. 2 und Abs. 5 lit. b) DSGVO zur Ermittlung der Höhe des zu leistenden Betrages heran. Der Betrag setze sich aus EUR 1.000 für die Verspätung und weiteren EUR 1.500 für die Unvollständigkeit der Auskunftserteilung zusammen. ArbG Berlin 15.06.22 ArbG Berlin, Teilurteil vom 15. Juni 2022 – 55 Ca 456/21, BeckRS 2022, 20071, ZD 2023, 165 (juris) Nicht erfüllte Auskunftspflichten — 5.000 Nicht erfüllte Auskunft an ehemaligen Arbeitnehmer nach Art. 15 DSGVO. Verstoß gegen Art. 15 DSGVO. Das Gericht zieht Art. 83 Abs. 2 DSGVO zur Ermittlung der Höhe des zu leistenden Betrages heran. AG Düsseldorf 24.08.23 AG Düsseldorf, Urteil vom 24. August 2023 – 51 C 206/23, BeckRS 2023, 26840 (juris) Nicht erfüllte Auskunftspflichten — 500 Nicht erfüllte Auskunftserteilung durch Online-Shop-Betreiber im Nachgang eines Kaufvorgangs. Der Betroffene zahlte den Kaufpreis nicht, sondern forderte Auskunft nach Art. 15 DSGVO. Nachdem diese nicht ausreichend erfüllt wurde, rechnete er widerklagend mit einem Anspruch auch Schadensersatz aus Art. 82 DSGVO gegen den (deutlich geringeren) Kaufpreis auf. Verstoß gegen Art. 15 DSGVO. Das Gericht betonte, dass der Umstand, dass der Betroffene systematisch Verstöße gegen die DSGVO zulasten seiner Person verfolge, keinen Rechtsmissbrauch darstelle, aber bei der Höhe des zu leistenden Schadensersatzes zu beachten sei. Das Gericht lässt den DSGVO-Verstoß ohne weitere Ausführungen zu einem entstandenen Schaden ausreichen, verweist aber darauf, dass der immaterielle Schadensersatz der Genugtuung, nicht jedoch als Einnahmequelle oder Straffunktion diene. — LG Leipzig 23.12.21 LG Leipzig, Urteil vom 23. Dezember 2021 – 03 O 1268/21, BeckRS 2021, 42004 (juris) Nicht erfüllte Auskunftspflichten — 0 Nicht ordnungsgemäß und verspätet erteilte Auskunft nach Art. 15 DSGVO. Verstoß gegen Art. 15 DSGVO. Das Gericht verlangt für den Anspruch eine Beeinträchtigung von gewisser Erheblichkeit und zieht hierfür die Beispiele aus den EG Nr. 75 und 85 der DSGVO heran. Das bloße Warten auf die Auskunft reiche dafür nicht. — OLG Köln 10.08.23 OLG Köln, Urteil vom 10. August 2023 – 15 U 149/22, BeckRS 2023, 20525 Nicht erfüllte Auskunftspflichten — 0 Verspätet erfülltes Auskunftsverlangen durch Krankenhaus. Verstoß gegen Art. 15 DSGVO. Dem Gericht zufolge sei keine Darlegung eines kausal auf der Pflichtverletzung der Beklagten beruhenden Schadens erfolgt. — OLG Düsseldorf 09.03.23 OLG Düsseldorf, Urteil vom 9. März 2023 – 16 U 154/21, BeckRS 2023, 4182 (juris) Nicht erfüllte Auskunftspflichten LG Düsseldorf, Urteil vom 28. Oktober 2021 – 16 O 128/20. 0 Der Kläger hielt eine erteilte Auskunft nach Art. 15 DSGVO durch einen Vertragspartner (Telekommunikationsunternehmen) für unvollständig. Der Beklagte habe den Auskunftsanspruch erfüllt. Der Kläger habe keinen konkreten Schaden dargelegt und nachgewiesen. — LG Köln 16.02.22 LG Köln, Urteil vom 16. Februar 2022 – 28 O 303/20, GRUR-RS 2022, 3541 (juris) Nicht erfüllte Auskunftspflichten — 0 Verspätet erteilte Auskunft nach Art. 15 DSGVO. Verstoß gegen Art. 15 DSGVO. Der Kläger habe keinen Schaden dargelegt. — LG München I 02.09.21 LG München I, Urteil vom 2. September 2021 – 23 O 10931/20, GRUR-RS 2021, 33318 (juris) Nicht erfüllte Auskunftspflichten — 0 Der Kläger verlangte Auskunft nach Art. 15 DSGVO infolge eines angeblichen Datenschutzvorfalls von der Beklagten. Zu der Beantwortung der Auskunftsanfrage behauptete der Kläger, die von der Beklagten zur Verfügung gestellten Links funktionierten nicht. Auskunft nach Auffassung des Gerichts gemäß Art. 15 DSGVO erteilt. Die Behauptung eines Schadens durch Kontrollverlust genüge dem Gericht zufolge nicht zur Feststellung eines bemessbaren immateriellen Schadens. — ArbG Gießen 07.06.23 ArbG Gießen, Urteil vom 7. Juni 2023 – 2 Ca 327/22, BeckRS 2023, 19282 (juris) Nicht erfüllte Auskunftspflichten Anhängig beim Hessischen LAG – 17 Sa 720/23. 0 Der Kläger machte zusätzlich zu einer Kündigungsschutzklage einen DSGVO-Schadensersatzanspruch wegen Verstoßes gegen Art. 15 DSGVO geltend. Ein DSGVO-Verstoß allein reiche dem Gericht zufolge für den Anspruch aus Art. 82 DSGVO nicht aus. — LG Bonn 01.07.21 LG Bonn, Urteil vom 1. Juli 2021 – 15 O 356/20, BeckRS 2021, 18275 (juris) Nicht erfüllte Auskunftspflichten OLG Köln, Urteil vom 14. Juli 2022 – 15 U 137/21. 0 Acht Monate verspätet erteilte Auskunft eines Anwalts an eine ehemalige Mandantin nach Art. 15 DSGVO. — Ein Schaden i.S.d. Art. 82 DSGVO muss durch die Verarbeitung personenbezogener Daten ausgelöst werden, sodass eine verzögerte Reaktion auf ein Auskunftsverlangen nach Art. 15 DSGVO nicht ausreiche. Das Gericht kommt nach Auslegung von EG Nr. 146 DSGVO zu diesem Ergebnis. Allein das Warten auf die Auskunft löse zudem keinen Schadensersatzanspruch aus, daher sei ein spürbarer Schaden unabhängig von einer Erheblichkeitsschwelle nicht dargelegt. — LG Bonn 01.07.21 LG Bonn, Urteil vom 1. Juli 2021 – 15 O 372/20 Nicht erfüllte Auskunftspflichten OLG Köln, Beschluss vom 28. Juni 2022 – 15 U 138/21; siehe auch: OLG Köln, Beschluss vom 28. Juni 2022 – 15 U 139/21; LG Bonn, Urteil vom 1. Juli 2021 – 15 O 355/20. 0 Verspätet erteilte Auskunft eines Anwalts an eine ehemalige Mandantin nach Art. 15 DSGVO. — Ein Schaden i.S.d. Art. 82 DSGVO müsse dem Gericht zufolge durch die "Verarbeitung" personenbezogener Daten ausgelöst werden, sodass eine verzögerte Reaktion auf ein Auskunftsverlangen nach Art. 15 DSGVO nicht ausreiche. Das Gericht kommt nach Auslegung von EG Nr. 146 DSGVO zu diesem Ergebnis. Allein das Warten auf die Auskunft löse zudem keinen Schadensersatzanspruch aus, daher sei ein spürbarer Schaden unabhängig von einer Erheblichkeitsschwelle nicht dargelegt. — LAG Schleswig-Holstein 21.02.23 LAG Schleswig-Holstein, Urteil vom 21. Februar 2023 – 1 Sa 148/22, BeckRS 2023, 5733 (juris) Nicht erfüllte Auskunftspflichten ArbG Lübeck, Urteil vom 10. Juni 2022 – 5 Ca 1507/21. 0 Nicht vollständig erteilte Auskunft nach Art. 15 DSGVO sowie Verstoß gegen Informationsansprüche des Klägers aus Art. 13 Abs. 1 und 2 DSGVO. Ein abgelehnter Bewerber verlangte Auskunft und im Anschluss neben der AGG-Klage Schadensersatz nach Art. 82 DSGVO. Der Kläger habe den Anspruch nach Art. 82 DSGVO rechtsmissbräuchlich geltend gemacht. — LAG Hamm 02.12.22 LAG Hamm, Urteil vom 2. Dezember 2022 – 19 Sa 756/22, BeckRS 2022, 43126 (juris) Nicht erfüllte Auskunftspflichten — 0 Drei Wochen verspätet erteilte Auskunft nach Art. 15 DSGVO durch Arbeitgeber. Der Kläger habe keinen Schaden dargelegt. Der bloße Verstoß gegen die Vorschriften der DSGVO reiche für den Schadensersatz nach Art. 82 DSGVO nicht aus. — LG Düsseldorf 28.10.21 LG Düsseldorf, Urteil vom 28. Oktober 2021 – 16 O 128/20, GRUR-RS 2021, 33076 (juris) Nicht erfüllte Auskunftspflichten OLG Düsseldorf, Urteil vom 9. März 2023 – 16 U 154/21. 0 Nicht ordnungsgemäß und verspätet erteilte Auskunft nach Art. 15 DSGVO. Der Kläger hielt eine erteilte Auskunft nach Art. 15 DSGVO durch einen Vertragspartner (Telekommunikationsunternehmen) für unvollständig. Ein Schaden i.S.d. Art. 82 DSGVO müsse dem Gericht zufolge durch die Verarbeitung personenbezogener Daten ausgelöst werden, sodass eine verzögerte Reaktion auf ein Auskunftsverlangen nach Art. 15 DSGVO nicht ausreiche. Das Gericht kommt nach Auslegung des Wortlauts von Art. 82 Abs. 2 DSGVO und EG Nr. 146 DSGVO zu diesem Ergebnis. Darüber hinaus habe der Kläger keinen erlittenen Schaden dargelegt. — OLG Köln 10.08.23 OLG Köln, Urteil vom 10. August 2023 – 15 U 184/22, BeckRS 2023, 20138 (juris) Nicht erfüllte Auskunftspflichten LG Bonn, Urteil vom 29. August 2022 – 9 O 158/21 (juris). 0 Nicht vollständig erteilte Auskunft nach Art. 15 DSGVO. Verstoß gegen Art. 15 DSGVO. Der Kläger habe keinen immateriellen Schaden dargelegt. Eine lange Verzögerung und unterstellter "böser Wille" genügten dem Gericht zufolge nicht. — OLG Köln 10.08.23 OLG Köln, Urteil vom 10. August 2023 – 15 U 78/22, GRUR-RS 2023, 20462 (juris) Nicht erfüllte Auskunftspflichten LG Bonn, Urteil vom 4. April 2022 – 9 O 224/21, BeckRS 2022, 14436. 0 Behauptete verspätet erteilte Auskunft nach Art. 15 DSGVO. Kein Verstoß gegen Art. 15 DSGVO. Das Gericht sah das Auskunftsverlangen als erfüllt an. Dem Kläger sei dem Gericht zufolge kein Schaden entstanden. — LAG Nürnberg 25.01.23 LAG Nürnberg, Urteil vom 25. Januar 2023 – 4 Sa 201/22, BeckRS 2023, 5047 (juris) Nicht erfüllte Auskunftspflichten ArbG Bamberg, Urteil vom 11. Mai 2022 – 2 Ca 942/20; anhängig beim BAG – 8 AZR 124/23. 0 Verspätet erteilte Auskunft nach Art. 15 DSGVO durch ehemaligen Arbeitgeber. Verstoß gegen Art. 15 DSGVO. Ein Schaden i.S.d. Art. 82 DSGVO müsse durch die Verarbeitung personenbezogener Daten ausgelöst werden, sodass eine verzögerte Reaktion auf ein Auskunftsverlangen nach Art. 15 DSGVO nicht ausreiche. Das Gericht kommt nach Auslegung von EG Nr. 146 DSGVO zu diesem Ergebnis. — Das ArbG als vorherige Instanz hatte der klagenden Partei EUR 4.000 zugesprochen. ArbG Herne 04.09.20 ArbG Herne, Urteil vom 4. September 2020 – 5 Ca 178/20, BeckRS 2020, 49981 (juris) Nicht erfüllte Auskunftspflichten LAG Hamm, Urteil vom 11. Mai 2021 – 6 Sa 1260/20. 0 Eine Arbeitnehmerin forderte von ihrem Arbeitgeber Auskunft über die gespeicherten Daten, insb. zur Arbeitszeiterfassung. Dieser Aufforderung kam der Arbeitgeber nicht vollständig nach. Verstoß gegen Art. 15 DSGVO. Dem Gericht zufolge habe der Kläger keinen erstattungsfähigen immateriellen Schaden nachgewiesen. — Das LAG Hamm (6 Sa 1260/20) hat EUR 1.000 zugesprochen. ArbG Duisburg 03.11.23 ArbG Duisburg, Urteil vom 3. November 2023 – 5 Ca 877/23, BeckRS 2023, 32434 (juris) Nicht erfüllte Auskunftspflichten ArbG Duisburg, Urteil vom 18. August 2023 – 5 Ca 877/23, BeckRS 2023, 26831. 750 Verspätet (nicht unverzüglich) erteilte Auskunft an einen Bewerber. Verstoß gegen Art. 12 Abs. 3 und Art. 15 DSGVO. — LAG Düsseldorf 28.11.23 LAG Düsseldorf, Urteil vom 28. November 2023 – 3 Sa 285/23, BeckRS 2023, 33737 Nicht erfüllte Auskunftspflichten ArbG Duisburg, Urteil vom 23. März 2023 – 3 Ca 44/23. 0 Verspätet und unvollständig erteilte Auskunft an einen ehemaligen Arbeitnehmer. Verstoß gegen Art. 12 Abs. 3 und Art. 15 DSGVO. Ein Schaden i.S.d. Art. 82 DSGVO müsse dem Gericht zufolge durch die "Verarbeitung" personenbezogener Daten ausgelöst werden, sodass eine verzögerte Reaktion auf ein Auskunftsverlangen nach Art. 15 DSGVO nicht ausreiche. — Das ArbG als vorherige Instanz hatte einen Anspruch in Höhe von EUR 10.000 bejaht. ArbG Suhl 20.12.23 ArbG Suhl, Urteil vom 20. Dezember 2023 – 6 Ca 704/23, BeckRS 2023, 39521 (juris) Nicht erfüllte Auskunftspflichten — 0 In unverschlüsselter E-Mail erteilte Auskunft an einen ehemaligen Arbeitnehmer (u.a.). Verstoß gegen Art. 5 DSGVO. Kein Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO, da kein erlittener und kausaler Schaden nachgewiesen worden sei. — ArbG Hamburg 14.11.23 ArbG Hamburg, Urteil vom 14. November 2023 – 19 Ca 223/23, BeckRS 2023, 38661 Nicht erfüllte Auskunftspflichten — 0 Verspätet erteilte Auskunft an einen Bewerber. Verstoß gegen Art. 15 DSGVO. Kein Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO, da kein erlittener Schaden nachgewiesen worden sei. Behaupteter Kontrollverlust oder "emotionales Ungemach" seien dem Gericht zufolge bloße Schlagworte ohne inhaltliche Substanz. — LAG Mecklenburg-Vorpommern 17.10.23 LAG Mecklenburg-Vorpommern, Urteil vom 17. Oktober 2023 – 2 Sa 61/23, BeckRS 2023, 40136 (juris) Nicht erfüllte Auskunftspflichten ArbG Rostock, Urteil vom 24. Januar 2023 – 3 Ca 1363/22. 0 Ein abgelehnter Bewerber forderte Schadensersatz wegen Altersdiskriminierung nach dem AGG und in diesem Zuge dieses Verfahrens auch Schadensersatz nach Art. 82 DSGVO wegen behaupteter nicht erfüllter Auskunft. — Kein Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO, da kein erlittener und kausaler Schaden nachgewiesen worden sei und ein DSGVO-Verstoß allein hierfür nicht ausreiche. Dem Gericht zufolge handele es sich bei Art. 82 DSGVO nicht um einen von dem Vorliegen eines konkreten Schadens losgelösten Strafschadensersatz. — Bei dem Verfahren handelt es sich um die Berufung des Klägers gegen ein Versäumnisurteil. ArbG Lübeck 20.06.19 ArbG Lübeck, Beschluss vom 20. Juni 2019 – 1 Ca 538/19, BeckRS 2019, 36456 (juris) Nicht erfüllte Löschpflichten — () 1.000 Unterlassene Entfernung eines Mitarbeiterfotos mit Namen und Stellenbezeichnung vom Facebook-Profil des Arbeitgebers trotz des Widerrufs der ursprünglichen Einwilligung des Arbeitnehmers zur Veröffentlichung auf der Unternehmens-Homepage. () Möglicher Verstoß gegen Art. 6 Abs. 1 DSGVO und § 26 BDSG ("hinreichende Wahrscheinlichkeit" im Rahmen eines Prozesskostenhilfebeschlusses). () Geringer immaterieller Schaden (keine schwerwiegende Persönlichkeitsverletzung). () Eher geringes Verschulden des Arbeitgebers, da dieser den Löschungsaufforderungen umgehend nachgekommen sei. () ArbG Neuruppin 14.12.21 ArbG Neuruppin, Urteil vom 14. Dezember 2021 – 2 Ca 554/21, BeckRS 2021, 50665 (juris) Nicht erfüllte Löschpflichten — 1.000 Aufrechterhaltung der Sichtbarkeit einer Arbeitnehmerin nach Ende der Beschäftigung auf der Internetpräsenz des Arbeitgebers. LAG Baden-Württemberg 27.07.23 LAG Baden-Württemberg, Urteil vom 27. Juli 2023 – 3 Sa 33/22, BeckRS 2023, 23752 (juris) Nicht erfüllte Löschpflichten ArbG Pforzheim, Urteil vom 23. Februar 2022 – 5 Ca 222/21. 10.000 Verspätet erfülltes Auskunftsverlangen durch ehemaligen Arbeitgeber sowie Weiterverwendung von Foto- und Filmmaterial des ehemaligen Arbeitnehmers u.a. auf der Homepage und in Sozialen Medien gegen dessen Willen für einen Zeitraum von neun Monaten nach Beendigung des Arbeitsverhältnisses. Verstoß gegen Art. 15 und Art. 17 Abs. 3 S. 1 DSGVO. / Dem Gericht zufolge begründe ein bloßer Verstoß gegen die DSGVO, die keine Vermutung enthalte, dass ein damit einhergehender Kontrollverlust zu einem ersatzfähigen Schaden führe, nicht den Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO. Das Gericht sprach den Schadensersatz für den Verstoß gegen Art. 17 Abs. 3 S. 1 DSGVO, aber mangels Schadens nicht für den gegen Art. 15 DSGVO zu. — LG Wuppertal 29.03.19 LG Wuppertal, Urteil vom 29. März 2019 – 17 O 178/18, BeckRS 2019, 13062 (juris) Nicht erfüllte Löschpflichten — 923 Veröffentlichung eines Profils sowie unterlassene Löschung von personenbezogenen Daten und negativen Bewertungen einer Ärztin auf einem Bewertungsportal. Verstoß gegen Art. 17 Abs. 1 lit. d) DSGVO. — Anspruch auf Freistellung von der Verbindlichkeit gegenüber den Prozessbevollmächtigten der Beklagten für die außergerichtliche Rechtsverfolgung. LG Essen 29.10.20 LG Essen, Urteil vom 29. Oktober 2020 – 4 O 9/20, GRUR-RS 2020, 33128 (juris) Nicht erfüllte Löschpflichten OLG Hamm, Urteil vom 29. Juni 2021 – I-4 U 189/20. 0 Unterlassene Löschung der Namensnennung der Mitarbeiterin eines Gastronomiebetriebs in einer negativen Bewertung auf einem Bewertungsportal durch die Betreiberin des Portals. Kein DSGVO-Verstoß, da kein Löschanspruch nach Art. 17 Abs. 1 DSGVO. — OLG Hamm 29.06.21 OLG Hamm, Urteil vom 29. Juni 2021 – 4 U 189/20, GRUR-RS 2021, 20244 (juris) Nicht erfüllte Löschpflichten LG Essen, Urteil vom 29. Oktober 2020 – 4 O 9/20. 0 Unterlassene Löschung der Namensnennung der Mitarbeiterin eines Gastronomiebetriebs in einer negativen Bewertung auf einem Bewertungsportal durch die Betreiberin des Portals. Kein DSGVO-Verstoß, da kein Löschanspruch nach Art. 17 Abs. 1 DSGVO. — — LG Münster 04.07.23 LG Münster, Urteil vom 4. Juli 2023 – 16 O 238/22, BeckRS 2023, 40176 (juris) Nicht erfüllte Löschpflichten — 579 Unterlassene Löschung von öffentlichen Negativvermerken durch Auskunftei. Verstoß gegen Art. 6 und Art. 17 DSGVO. — Zugesprochen wurde in diesem Verfahren die Erstattung vorgerichtlicher Anwaltskosten. LG Zwickau 14.09.22 LG Zwickau, Urteil vom 14. September 2022 – 7 O 334/22 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 1.000 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 13f., Art. 24f., Art. 32 bis Art. 34 DSGVO. Das LG Zwickau hat in diesem Fall ein Versäumnisurteil erlassen. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. LG Ravensburg 13.06.23 LG Ravensburg, Urteil vom 13. Juni 2023 – 2 O 228/22, GRUR-RS 2023, 17418 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 1.000 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 32 Abs. 1, Art. 33 Abs. 1 und Art. 34 Abs. 1 DSGVO. — LG Freiburg 15.09.23 LG Freiburg, Urteil vom 15. September 2023 – 8 O 184/22, BeckRS 2023, 28850 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 500 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Der Betroffene hat aufgrund einer Vielzahl von Spam-Anrufen seine Telefonnummer gewechselt. Verstoß gegen Art. 13, Art. 6, Art. 24, Art. 32 Abs. 1 und Art. 5 Abs. 1 lit. f) DSGVO. LG Stuttgart 26.01.23 LG Stuttgart, Urteil vom 26. Januar 2023 – 53 O 95/22, GRUR-RS 2023, 1098 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 17/23. 300 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 13 und Art. 25 Abs. 2 DSGVO. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. LG Paderborn 19.12.22 LG Paderborn, Urteil vom 19. Dezember 2022 – 3 O 99/22, GRUR-RS 2022, 39349 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 500 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 13, Art. 24, Art. 5 Abs. 1 lit. f), Art. 25 und Art. 32 bis Art. 34 DSGVO. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. LG Paderborn 13.12.22 LG Paderborn, Urteil vom 13. Dezember 2022 – 2 O 212/22, GRUR-RS 2022, 41028 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 500 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 13, Art. 24, Art. 5 Abs. 1 lit. f), Art. 32 bis Art. 34 Abs. 1 DSGVO. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. LG Lüneburg 24.01.23 LG Lüneburg, Urteil vom 24. Januar 2023 – 3 O 74/22, GRUR-RS 2023, 4813 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform OLG Celle, Urteil vom 4. April 2024 – 5 U 31/23; das OLG hat die Berufung des Klägers gegen das Urteil des LG als unzulässig abgelehnt. 300 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 25 Abs. 1, Abs. 2 DSGVO. Das Gericht bejaht einen erheblichen Kontrollverlust über personenbezogene Daten, insb. Telefonnummer (und deren Verknüpfung mit Vor- und Nachname). Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. LG Lüneburg 24.01.23 LG Lüneburg, Urteil vom 24. Januar 2023 – 3 O 81/22, GRUR-RS 2023, 9544 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 300 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 25 Abs. 1, Abs. 2 DSGVO. Das Gericht bejaht einen erheblichen Kontrollverlust über personenbezogene Daten, insb. Telefonnummer (und deren Verknüpfung mit Vor- und Nachname). Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. LG Lübeck 25.05.23 LG Lübeck, Urteil vom 25. Mai 2023 – 15 O 74/22, GRUR-RS 2023, 11984 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 500 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 32 DSGVO. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. LG Bonn 07.06.23 LG Bonn, Urteil vom 7. Juni 2023 – 13 O 126/22 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 250 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 5 Abs. 1 lit. f), Art. 25 Abs. 1 und 2, Art. 32 Abs. 1 DSGVO. Leitsatz: "Scraping-Vorfälle begründen, sofern ein Verstoß gegen die DSGVO vorliegt, einen Anspruch nach Art. 82 DSGVO im Hinblick auf einen abstrakten Schaden in Form der Beeinträchtigung der grundsätzlich dem Betroffenen zustehenden Kontrolle über seine Daten, welches ein – allerdings in der Regel eher geringes – Schmerzensgeld [rechtfertigt]. Ein weitergehender konkreter Schaden erfordert die Beweisführung gemäß § 287 ZPO, dass Beeinträchtigungen wie etwa vermehrte unerwünschte Telefonanrufe konkret kausal auf den Scraping-Vorfall zurückzuführen sind". LG Heidelberg 31.03.23 LG Heidelberg, Urteil vom 31. März 2023 – 7 O 10/22, GRUR-RS 2023, 21298 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 250 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 5 Abs. 1 lit. f), Art. 6 Abs. 1, Art. 13 Abs. 1 lit. c), Art. 24, Art. 25 Abs. 2 und Art. 32 DSGVO. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. OLG Hamm 15.08.23 OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23, GRUR-RS 2023, 22505 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Bielefeld, Urteil vom 19. Dezember 2022 – 8 O 157/22. 0 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstöße gegen Art. 5 Abs. 1 lit. a), lit. b), lit. f), Art. 6 Abs. 1 Unterabs. 1, Art. 25 Abs. 1, Abs. 2 und Art. 32 DSGVO. Der Kläger habe einen (immateriellen) Schaden nicht ausreichend schlüssig dargelegt. Den von dem Kläger angegebenen "völligen Kontrollverlust" ließ das Gericht als abstrakten Vortrag nicht ausreichen. — LG Saarbrücken 20.06.23 LG Saarbrücken, Urteil vom 20. Juni 2023 – 4 O 168/22, GRUR-RS 2023, 14642 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen, sondern mache pauschale und formelhafte Ausführungen, die gerichtsbekannt in mehreren Verfahren verwendet würden. — LG Deggendorf 20.06.23 LG Deggendorf, Urteil vom 20. Juni 2023 – 33 O 461/22, GRUR-RS 2023, 14586 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Dem Gericht zufolge habe der Kläger keinen Schaden und spürbare Beeinträchtigungen persönlicher Belange nachgewiesen. Die Fortsetzung der Nutzung der Plattform mit unveränderten Einstellungen nach dem Scraping-Vorfall spreche dem Gericht zufolge gegen die behaupteten Ängste infolge eines Kontrollverlusts. — LG Darmstadt 19.06.23 LG Darmstadt, Urteil vom 19. Juni 2023 – 27 O 194/22, GRUR-RS 2023, 14585 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Da der Kläger keinen Klarnamen verwendete, bezweifelt das Gericht bereits den Personenbezug der betroffenen Daten. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Da fast ausschließlich öffentlich einsehbare Daten betroffen sind, könne sich dem Gericht zufolge kein Kontrollverlust ergeben. Gegen die behaupteten Sorgen spreche zudem, dass der Kläger weiterhin Dienste wie Online-Banking und Versandhandel nutze. — LG Duisburg 14.06.23 LG Duisburg, Urteil vom 14. Juni 2023 – 10 O 126/22, GRUR-RS 2023, 14602 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen ersatzfähigen immateriellen Schaden dargelegt. — LG Stralsund 09.06.23 LG Stralsund, Urteil vom 9. Juni 2023 – 6 O 181/22, GRUR-RS 2023, 19693 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. — LG Augsburg 09.06.23 LG Augsburg, Urteil vom 9. Juni 2023 – 022 O 2669/22, GRUR-RS 2023, 13763 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Plattformen mit dem Ziel, Kontakte zu suchen und zu finden, treffe dem Gericht zufolge nicht die Pflicht aus Art. 25 Abs. 2 DSGVO zu Voreinstellungen, bei denen die Suche mit Telefonnummern gesperrrt werde. Zudem stelle ein Scraping-Vorfall keinen meldepflichtigen Verstoß gemäß Art. 33 DSGVO dar. — LG Berlin 07.06.23 LG Berlin, Urteil vom 7. Juni 2023 – 26 O 240/22, GRUR-RS 2023, 14402 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Das Gericht führt aus, dass ein Kontrollverlust immer Folge eines DSGVO-Verstoßes für denjenigen sei, der seine Daten dem Datenverarbeiter anvertraut habe, sodass ein Kontrollverlust für sich genommen keinen Schaden darstellen könne. Der Kläger habe dem Gericht zufolge einen durch einen DSGVO-Verstoß verursachten Schaden nicht hinreichend konkret dargelegt. — Beweislast beim Kläger. LG Tübingen 06.06.23 LG Tübingen, Urteil vom 6. Juni 2023 – 7 O 144/22, GRUR-RS 2023, 13839 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — — LG Bamberg 06.06.23 LG Bamberg, Urteil vom 6. Juni 2023 – 42 O 782/22, GRUR-RS 2023, 13792 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Auch wenn das Gericht keinen generellen Ausschluss von Bagatellschäden annimmt, führt es doch aus, dass für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für jede bloß individuelle empfundene Unannehmlichkeit kein Schadensersatz zu gewähren sei. Im vorliegenden Fall fehle es an dem Nachweis der spürbaren Beeinträchtigung durch den Datenverlust; der Kläger habe nur pauschal vorgetragen. — LG München I 05.06.23 LG München I, Urteil vom 5. Juni 2023 – 15 O 4501/22, BeckRS 2023, 13806 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen; die Weiternutzung der Plattform mit unveränderten Einstellungen spreche gegen die behaupteten Sorgen. — LG Bochum 05.06.23 LG Bochum, Urteil vom 5. Juni 2023 – 6 O 86/22, GRUR-RS 2023, 14580 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Der Kläger habe dem Gericht zufolge selbst über die Nutzung der Plattform und die eingetragenen Daten entschieden. Einen ersatzfähigen Schaden habe der Kläger nicht nachgewiesen. Pauschale Ausführungen, die dem Gericht zufolge in mehreren Verfahren nahezu wortgleich verwendet würden, seien nicht ausreichend. — LG Ingolstadt 01.06.23 LG Ingolstadt, Urteil vom 1. Juni 2023 – 81 O 549/22, GRUR-RS 2023, 14661 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Kein Anspruch auf Ersatz eines Schadens nach Art. 82 DSGVO, da kein erlittener Schaden nachgewiesen worden sei, der über die negativen Gefühle, die man automatisch entwickele, wenn ein Gesetz zu eigenen Ungunsten verletzt werde, hinausgehen. Der Kläger habe nicht die Profileinstellungen geändert. — LG Köln 31.05.23 LG Köln, Urteil vom 31. Mai 2023 – 28 O 138/22, GRUR-RS 2023, 13967 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform OLG Köln, Urteil vom 7. Dezember 2023 – 15 U 108/23. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. — LG München I 31.05.23 LG München I, Urteil vom 31. Mai 2023 – 18 O 4509/22 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen, sondern mache pauschale und formelhafte Ausführungen, die gerichtsbekannt in mehreren Verfahren verwendet würden; das Einstellen von Daten auf eine Plattform, sodass diese jedermann öffentlich zugänglich sind, spreche gegen den behaupteten Kontrollverlust. Der Kläger nutze die Plattform mit unveränderten Einstellungen sowie seine Telefonnummer weiter. — LG Aachen 26.05.23 LG Aachen, Urteil vom 26. Mai 2023 – 8 O 267/22, GRUR-RS 2023, 13773 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — LG Dortmund 22.05.23 LG Dortmund, Urteil vom 22. Mai 2023 – 24 O 20/23, GRUR-RS 2023, 14600 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen, sondern mache floskelhafte Ausführungen, die gerichtsbekannt in mehreren Verfahren verwendet würden. Dass sämtliche Betroffene dieselbe emotionale Reaktion zeigen und dieselbe Besorgnis ohne Unterschiede entwickeln, sei dem LG zufolge "völlig lebensfremd". — LG Regensburg 11.05.23 LG Regensburg, Urteil vom 11. Mai 2023 – 72 O 731/22, GRUR-RS 2023, 17446 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Der Kläger habe dem Gericht zufolge keinen Schaden und keine spürbare Beeinträchtigung persönlicher Belange dargelegt. — LG Regensburg 11.05.23 LG Regensburg, Urteil vom 11. Mai 2023 – 72 O 1413/22, GRUR-RS 2023, 13826 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. — LG Bückeburg 10.05.23 LG Bückeburg, Urteil vom 10. Mai 2023 – 1 O 84/22, GRUR-RS 2023, 14584 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keine spürbare Beeinträchtigung persönlicher Belange dargelegt; insbesondere, wenn man personenbezogene Daten unter Nutzung von Internet-Plattformen zur Verfügung stelle, gehören ungewünschte Anrufe dem Gericht zufolge zum allgemeinen Lebensrisiko. — LG Bonn 10.05.23 LG Bonn, Urteil vom 10. Mai 2023 – 3 O 201/22, GRUR-RS 2023, 13793 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden dargelegt. Pauschale Darlegungen, die gerichtsbekannt in mehreren Verfahren verwendet würden, seien nicht ausreichend. — LG Offenburg 05.05.23 LG Offenburg, Urteil vom 5. Mai 2023 – 3 O 311/22, GRUR-RS 2023, 13824 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden dargelegt. Pauschale Darlegungen, die gerichtsbekannt in mehreren Verfahren verwendet würden, seien nicht ausreichend. — LG Kiel 25.05.23 LG Kiel, Urteil vom 25. Mai 2023 – 6 O 314/22, GRUR-RS 2023, 13821 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Der Kläger habe dem Gericht zufolge keinen ersatzfähigen Schaden nachgewiesen; der mögliche Missbrauch öffentlich zugänglicher Daten gehöre zum allgemeinen Lebensrisiko. — LG Augsburg 02.05.23 LG Augsburg, Urteil vom 2. Mai 2023 – 031 O 1709/22, GRUR-RS 2023, 13778 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Plattformen mit dem Ziel, Kontakte zu suchen und zu finden, treffe dem Gericht zufolge nicht die Pflicht aus Art. 25 Abs. 2 DSGVO zu Voreinstellungen, bei denen die Suche mit Telefonnummern gesperrrt werde. Zudem stelle ein Scraping-Vorfall keinen meldepflichtigen Verstoß gemäß Art. 33 DSGVO dar. — LG Detmold 28.04.23 LG Detmold, Urteil vom 28. April 2023 – 02 O 184/22, GRUR-RS 2023, 14599 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Detmold, Berichtigungsbeschluss vom 29. Juni 2023 – 2 O 184/22, GRUR-RS 2023, 22114; Revisionen beim OLG Hamm anhängig. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — — LG Konstanz 28.04.23 LG Konstanz, Urteil vom 28. April 2023 – D 6 O 98/22, GRUR-RS 2023, 13796 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden und keine spürbare Beeinträchtigung persönlicher Belange nachgewiesen; eine Verletzung von Persönlichkeitsrechten des Betroffenen müsse erlitten worden sein und dürfe nicht nur empfunden werden. — LG Stuttgart 19.04.23 LG Stuttgart, Urteil vom 19. April 2023 – 53 O 129/22, GRUR-RS 2023, 14394 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Stuttgart, Berichtigungsbeschluss vom 30. Mai 2023 – 53 O 129/22, GRUR-RS 2023, 14400. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — LG Limburg 14.04.23 LG Limburg, Urteil vom 14. April 2023 – 1 O 171/22, GRUR-RS 2023, 13797 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen; öffentlich auf einer Plattform eingestellten Daten sei immanent, dass diese jederzeit und für jedermann zugänglich seien. — LG Kassel 06.04.23 LG Kassel, Urteil vom 6. April 2023 – 10 O 851/22, GRUR-RS 2023, 13794 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — LG Aachen 06.04.23 LG Aachen, Urteil vom 6. April 2023 – 8 O 154/22, GRUR-RS 2023, 13757 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — LG Heidelberg 31.03.23 LG Heidelberg, Urteil vom 31. März 2023 – 7 O 9/22, GRUR-RS 2023, 21264 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — / 90 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Verstoß gegen Art. 5 Abs. 1 lit. f), Art. 6 Abs. 1, Art. 13 Abs. 1 lit. c), Art. 24 und Art. 32 DSGVO. Der Kläger habe dem Gericht zufolge keinen immateriellen Schaden nachgewiesen. Bloßer Ärger oder die klägerische Aussage, mit dem Verfahren sicherstellen zu wollen, dass sich die DSGVO-Verstöße nicht wiederholten, reichen laut Gericht dafür nicht aus. Das Gericht führt aus, dass Art. 82 Abs. 3 DSGVO eine Beweislastumkehr anordne. Eine Entlastung komme nur mit dem Beweis in Frage, dass die am Maßstab des Stands der Technik und im Verkehr (also eine am allgemeinen Schutzinteresse orientierte) erforderliche Sorgfalt angewendet wurde. / Zugesprochen wurde in diesem Verfahren die Erstattung vorgerichtlicher Rechtsanwaltskosten. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen künftige auf dem Datenleck beruhende Schäden zu ersetzen. LG Bonn 30.03.23 LG Bonn, Urteil vom 30. März 2023 – 3 O 208/22, GRUR-RS 2023, 14581 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden dargelegt. Pauschale Darlegungen, die gerichtsbekannt in mehreren Verfahren verwendet würden, seien nicht ausreichend. — LG Detmold 28.03.23 LG Detmold, Urteil vom 28. März 2023 – 02 O 85/22, GRUR-RS 2023, 14598 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Anhängig beim OLG Hamm – I-7 U 59/23. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen spürbaren Nachteil dargelegt. Ein Kontrollverlust könne durch das Scraping nicht eingetreten sein, da die Daten mit ihrem Einstellen auf einer Social-Media-Plattform bereits nicht mehr unter der ausschließlichen Kontrolle des Klägers standen. — LG Stuttgart 27.03.23 LG Stuttgart, Urteil vom 27. März 2023 – 27 O 100/22, GRUR-RS 2023, 13830 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden und keine objektiv nachvollziehbaren Beeinträchtigungen nachgewiesen; die Betroffenheit einer Vielzahl von Personen durch das Datenleck lasse die Wahrscheinlichkeit, dass ausgerechnet der Kläger Opfer eines Datenmissbrauchs werde, gering erscheinen. Die Fortsetzung der Nutzung der Plattform mit unveränderten Einstellungen sowie ein unterbliebener Wechsel der Telefonnummer sprechen dem Gericht zufolge gegen die behaupteten Sorgen. — LG Oldenburg 22.03.23 LG Oldenburg, Urteil vom 22. März 2023 – 5 O 1809/22, BeckRS 2023, 12425 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Oldenburg, Versäumnisurteil (im schriftlichen Vorverfahren) vom 18. Oktober 2022 – 5 O 1809/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge schon seine Betroffenheit nicht nachgewiesen. — Bei dem Verfahren handelt es sich um den zulässigen und begründeten Einspruch des Beklagten gegen ein zuvor im schriftlichen Vorverfahren auf Antrag des Klägers ergangenes Versäumnisurteil, mit dem der Beklagte antragsgemäß u.a. zur Zahlung eines Schadensersatzes in Höhe von EUR 2.000 verurteilt wurde. EuGH 11.04.24 EuGH, Urteil vom 11. April 2024 – C‑741/21 Unbefugte Datenverarbeitung LG Saarbrücken, Beschluss vom 22. November 2021 – 5 O 151/19. Beantwortung der Vorlagefragen. Übersendung von drei Werbeschreiben nach Widerruf der Einwilligung. Nach dem Eingeben eines sich auf der Werbung befindlichen Codes im Online-Shop der Beklagten erschien eine Bestellmaske mit voreingetragenen personenbezogenen Daten des Klägers. Der Kläger verlangt Ersatz eines materiellen Schadens wegen entstandener Gerichtsvollzieher- und Notarkosten sowie eines immateriellen Schadens. — Nicht jeder DSGVO-Verstoß stellt dem EuGH zufolge einen immateriellen Schaden dar. — Art. 83 DSGVO kann nicht zur Bemessung der Höhe eines zu leistenden Schadensersatzes herangezogen werden. Da dem Schadensersatz keine Straf- oder Abschreckungsfunktion innewohne, sondern ein vollständiger und wirksamer Schadensersatz als Ausgleich für den erlittenen Schaden sichergestellt werde, dürfe die Anzahl von DSGVO-Verstößen des Verantwortlichen gegenüber dem Betroffenen kein relevantes Kriterium bei der Bemessung der Höhe des Schadensersatzes sein. Zu ersetzen sei ausschließlich der dem Betroffenen konkret entstandene oder von diesem erlittene Schaden. Der EuGH verweist zudem darauf, dass es Aufgabe der nationalen Gerichte sei, hierfür Kriterien zu entwickeln. — Art. 82 DSGVO ist dem EuGH zufolge dahingehend auszulegen, dass es für eine Haftungsbefreiung des Verantwortlichen nach Art. 82 Abs. 3 DSGVO nicht ausreiche, dass dieser geltend macht, der in Rede stehende Schaden sei durch ein Fehlverhalten einer ihm im Sinne von Art. 29 DSGVO unterstellten Person verursacht worden. Beantwortung der Vorlagefragen. LG Fulda 14.03.23 LG Fulda, Urteil vom 14. März 2023 – 3 O 73/22, GRUR-RS 2023, 4570 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge nicht hinreichend zu einem ersatzfähigen Schaden vorgetragen. Der Erhalt von Spam-Nachrichten gehöre mittlerweile zum allgemeinen Lebensrisiko, insb. wenn man wie der Kläger die eigenen Daten ins Internet stelle. — LG Bielefeld 10.03.23 LG Bielefeld, Urteil vom 10. März 2023 – 19 O 147/22, GRUR-RS 2023, 3855 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Der Kläger habe dem Gericht zufolge nicht hinreichend zu einem konkreten Schaden vorgetragen; gegen die behauptete Furcht vor Kontrollverlust spreche die Weiterverwendung der Plattform durch den Kläger ohne Änderung der Einstellungen. — LG Heilbronn 10.03.23 LG Heilbronn, Urteil vom 10. März 2023 – Ri 1 O 48/22, GRUR-RS 2023, 14597 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. — LG Memmingen 09.03.23 LG Memmingen, Urteil vom 9. März 2023 – 35 O 1036/22, GRUR-RS 2023, 3856 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen; die Behauptung eines Kontrollverlusts über Daten, großen Unwohlseins und von Sorgen wegen eines potentiellen Datenmissbrauchs oder eines Anstiegs an Betrugsversuchen (z.B. Phishing-Mails und Anrufen) seien nicht ausreichend. — LG Kaiserslautern 09.03.23 LG Kaiserslautern, Urteil vom 9. März 2023 – 2 O 352/22, GRUR-RS 2023, 14639 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen Schaden und keine spürbare Beeinträchtigung von persönlichen Belangen nachgewiesen; das Befürchten eines Kontrollverlusts genüge nicht. — LG Itzehoe 09.03.23 LG Itzehoe, Urteil vom 9. März 2023 – 10 O 87/22, GRUR-RS 2023, 3825 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Der Kläger habe dem Gericht zufolge keinen kausalen Schaden nachgewiesen; pauschale Hinweise auf erhöhtes Spam-Aufkommen, für deren Löschung Lebenszeit aufgewendet worden sei, reichten nicht aus. — LG Berlin 09.03.23 LG Berlin, Urteil vom 9. März 2023 – 65 O 92/22, GRUR-RS 2023, 3860 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge nicht hinreichend zu einem konkreten Schaden vorgetragen. — Der Kläger müsse sich dem Gericht zufolge als Mitverschulden entgegenhalten lassen, dass er selbst frei entschieden habe, die Informationen auf der Plattform öffentlich einsehbar zur Verfügung zu stellen. LG Baden-Baden 09.03.23 LG Baden-Baden, Urteil vom 9. März 2023 – 3 O 248/22, GRUR-RS 2023, 3862 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — LG Baden-Baden 09.03.23 LG Baden-Baden, Urteil vom 9. März 2023 – 3 O 145/22, GRUR-RS 2023, 13788 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Zum Streitwert in diesem Verfahren: OLG Karlsruhe, Beschluss vom 5. Juli 2023 – 10 W 5/23, GRUR-RS 2023, 16073 (juris). 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — LG Bonn 08.03.23 LG Bonn, Urteil vom 8. März 2023 – 17 O 165/22, GRUR-RS 2023, 3854 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge nicht hinreichend zu einem konkreten Schaden und nicht zu Komfort- und Zeiteinbußen vorgetragen. Der Erhalt von Spam-Mails und SMS sowie Werbeanrufen stelle ein allgemeines Lebensrisiko dar. — LG Berlin 07.03.23 LG Berlin, Urteil vom 7. März 2023 – 13 O 79/22, GRUR-RS 2023, 3826 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — — LG Detmold 07.03.23 LG Detmold, Urteil vom 7. März 2023 – 02 O 67/22, GRUR-RS 2023, 3823 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Anhängig beim OLG Hamm – I-7 U 46/23. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Das Scrapen von Telefonnummern mithilfe eines Kontakt-Import-Tools stelle dem Gericht zufolge keine unrechtmäßige oder unbefugte Verarbeitung i.S.v. Art. 5 Abs. 1 lit. f) DSGVO dar. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Das Gericht führt aus, dass die Nutzung der Plattform nach dem Scraping-Vorfall den behaupteten Sorgen widerspreche. — LG Münster 07.03.23 LG Münster, Urteil vom 7. März 2023 – 02 O 54/22, GRUR-RS 2023, 4183 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen Schaden und keine Beeinträchtigung persönlicher Belange nachgewiesen. — LG Osnabrück 03.03.23 LG Osnabrück, Urteil vom 3. März 2023 – 11 O 834/22, GRUR-RS 2023, 3281 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. — LG Heilbronn 03.03.23 LG Heilbronn, Urteil vom 3. März 2023 – Bö 1 O 78/22, GRUR-RS 2023, 3278 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — — LG Frankfurt a.M. 02.03.23 LG Frankfurt a.M., Urteil vom 2. März 2023 – 2-03 O 164/22, GRUR-RS 2023, 4571 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Das Gericht verneint die Kausalität und führt aus, dass der Kläger nicht ausreichend zu einem immateriellen Schaden vorgetragen habe. — LG Hamburg 01.03.23 LG Hamburg, Urteil vom 1. März 2023 – 316 O 188/22, GRUR-RS 2023, 3283 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Das Gericht führt aus, dass pauschale Behauptungen und abstrakte Ausführungen nicht ausreichen. — LG Offenburg 28.02.23 LG Offenburg, Urteil vom 28. Februar 2023 – 2 O 98/22, GRUR-RS 2023, 2654 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Pauschale Darlegungen, die gerichtsbekannt in mehreren Verfahren verwendet würden, seien nicht ausreichend. — LG Münster 27.02.23 LG Münster, Urteil vom 27. Februar 2023 – 017 O 344/22, GRUR-RS 2023, 3282 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Der Kläger habe dem Gericht zufolge keinen ersatzfähigen Schaden nachgewiesen. — LG Itzehoe 27.02.23 LG Itzehoe, Urteil vom 27. Februar 2023 – 10 O 159/22, GRUR-RS 2023, 3280 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen immateriellen Schaden nachgewiesen. — LG Verden 24.02.23 LG Verden, Urteil vom 24. Februar 2023 – 1 O 205/22, GRUR-RS 2023, 4587 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen ersatzfähigen Schaden nachgewiesen. — LG Halle 24.02.23 LG Halle, Urteil vom 24. Februar 2023 – 3 O 177/22, GRUR-RS 2023, 4569 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Der Kläger habe dem Gericht zufolge keinen ersatzfähigen Schaden nachgewiesen. Die Veröffentlichung von Daten auf einer Social-Media-Plattform schließe dem Gericht zufolge aus, dass sich noch ein ungutes Gefühl ergeben könne, da bereits mit dem Einstellen der Daten auf der Plattform ein Zugang für jedermann möglich sei. — LG Bonn 23.02.23 LG Bonn, Urteil vom 23. Februar 2023 – 10 O 142/22, GRUR-RS 2023, 2619 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen eigenen kausal verursachten Schaden nachgewiesen. — LG Krefeld 22.02.23 LG Krefeld, Urteil vom 22. Februar 2023 – 7 O 113/22, GRUR-RS 2023, 2539 (juris, anderes Datum) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Anhängig beim OLG Düsseldorf – 16 U 46/23; LG Krefeld, Berichtigungsbeschluss vom 28. Februar 2023 – 7 O 113/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Der Kläger habe dem Gericht zufolge keinen kausalen Schaden nachgewiesen; öffentlich auf Plattformen eingestellten Daten sei immanent, dass sie jederzeit und jedem zugänglich sind. — LG Bonn 22.02.23 LG Bonn, Urteil vom 22. Februar 2023 – 7 O 101/22, GRUR-RS 2023, 2534 (anderes Datum) (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge nur allgemeine Ausführungen gemacht und keinen Schaden nachgewiesen. Die fortgeführte Nutzung der Plattform sowie die Nutzung von Online-Diensten, die Zugriff auf das Konto des Klägers erlauben, sei nicht zu erwarten, wenn der Kläger in großer Sorge vor einem Datenmissbrauch wäre. Zudem führt das Gericht aus, dass fast ausschließlich Daten betroffen waren, die der Kläger selbst auf der Plattform eingestellt habe, sodass dieser bereits mit der Eingabe die Kontrolle abgegeben habe und sich daraus kein weiterer Kontrollverlust ergeben könne. — LG Hildesheim 21.02.23 LG Hildesheim, Urteil vom 21. Februar 2023 – 3 O 89/22, GRUR-RS 2023, 3859 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Anhängig beim OLG Celle – 5 U 72/23. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen; die Behauptung eines nicht näher differenzierten Unwohlseins sei nicht ausreichend. — LG Verden 16.02.23 LG Verden, Urteil vom 16. Februar 2023 – 2 O 51/22, GRUR-RS 2023, 2532 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen ersatzfähigen Schaden nachgewiesen. — LG Memmingen 16.02.23 LG Memmingen, Urteil vom 16. Februar 2023 – 24 O 913/22, GRUR-RS 2023, 4562 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. — LG Bonn 10.02.23 LG Bonn, Urteil vom 10. Februar 2023 – 3 O 77/22, GRUR-RS 2023, 4567 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keine spürbaren Beeinträchtigungen persönlicher Belange, Komfort- oder Zeiteinbußen dargelegt. Pauschale Darlegungen, die gerichtsbekannt in mehreren Verfahren verwendet würden, seien nicht ausreichend. — LG Aachen 10.02.23 LG Aachen, Urteil vom 10. Februar 2023 – 8 O 177/22, GRUR-RS 2023, 2621 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — LG Heilbronn 09.02.23 LG Heilbronn, Urteil vom 9. Februar 2023 – Aß 2 O 125/22, GRUR-RS 2023, 2538 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen ersatzfähigen Schaden nachgewiesen. Die Beweislastumkehr des Art. 82 Abs. 3 DSGVO gelte nicht für den Schaden, sodass dessen Eintritt nicht vermutet werde. LG Coburg 08.02.23 LG Coburg, Urteil vom 8. Februar 2023 – 14 O 224/22, BeckRS 2023, 2110 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. — AG München 08.02.23 AG München, Urteil vom 8. Februar 2023 – 178 C 13527/22, BeckRS 2023, 2115 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Kein Anspruch auf Ersatz eines Schadens nach Art. 82 DSGVO, da kein erlittener immaterieller Schaden nachgewiesen worden sei; nicht weiter greifbares "Unwohlsein" dem Gericht zufolge nicht ausreichend. — LG Mosbach 06.02.23 LG Mosbach, Urteil vom 6. Februar 2023 – 2 O 113/22, BeckRS 2023, 2111 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Die Beweislastumkehr des Art. 82 Abs. 3 DSGVO gelte nicht für den Schaden, sodass dessen Eintritt nicht vermutet werde. LG Bonn 03.02.23 LG Bonn, Urteil vom 3. Februar 2023 – 2 O 170/22, GRUR-RS 2023, 4566 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keine spürbaren Beeinträchtigungen persönlicher Belange, Komfort- oder Zeiteinbußen dargelegt. Pauschale Darlegungen, die gerichtsbekannt in mehreren Verfahren verwendet würden, seien nicht ausreichend. Die Nutzung der Plattform mit unveränderten Einstellungen nach dem Scraping-Vorfall spreche dem Gericht zufolge gegen die behaupteten Ängste und Sorgen. Der Erhalt ungewollter Anrufe, E-Mails und SMS stelle ein allgemeines Lebensrisiko dar, dem auch Personen, die Social-Media-Plattformen meiden, ausgesetzt seien. — LG Bonn 03.02.23 LG Bonn, Urteil vom 3. Februar 2023 – 18 O 127/22, GRUR-RS 2023, 4565 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keine spürbaren Beeinträchtigungen persönlicher Belange, Komfort- oder Zeiteinbußen dargelegt. Pauschale Darlegungen, die gerichtsbekannt in mehreren Verfahren verwendet würden, seien nicht ausreichend. Die Nutzung dieser sowie weiterer Social-Media-Plattformen nach dem Scraping-Vorfall spricht dem Gericht zufolge gegen den behaupteten Kontrollverlust. — LG Görlitz 27.01.23 LG Görlitz, Urteil vom 27. Januar 2023 – 1 O 101/22, BeckRS 2023, 1148 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen ersatzfähigen Schaden nachgewiesen. Die Veröffentlichung von Daten auf einer Social-Media-Plattform schließe dem Gericht zufolge mit Ausnahme der Telefonnummer aus, dass sich noch ein ungutes Gefühl ergeben könne, da bereits mit dem Einstellen der Daten auf der Plattform ein Zugang für jedermann möglich sei. — LG Frankfurt a. M. 27.01.23 LG Frankfurt a. M., Urteil vom 27. Januar 2023 – 2-27 O 158/22, BeckRS 2023, 2127 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — — LG Ellwangen 25.01.23 LG Ellwangen, Urteil vom 25. Januar 2023 – 2 O 198/22, GRUR-RS 2023, 1146 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen ersatzfähigen Schaden nachgewiesen. Die Fortsetzung der Nutzung der Plattform ohne veränderte Einstellungen nach dem Scraping-Vorfall spreche zudem gegen die behaupteten Sorgen vor einem Datenmissbrauch. — LG Lüneburg 24.01.23 LG Lüneburg, Urteil vom 24. Januar 2023 – 3 O 85/22, GRUR-RS 2023, 9549 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen; da der Kläger die Daten inkl. der Telefonnummer sowohl auf der Plattform als auch auf einem anderen Portal veröffentlichte, könne durch das Scraping kein Kontrollverlust erlitten worden sein. — LG Limburg 24.01.23 LG Limburg, Urteil vom 24. Januar 2023 – 4 O 278/22, GRUR-RS 2023, 1149 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen konkreten, immateriellen Schaden nachgewiesen; bei mit Ausnahme der Telefonnummer öffentlich auf einer Plattform eingestellten Daten, sei es nicht hinreichend wahrscheinlich, dass Scraping der Daten Ängste und Sorge auslöse. — LG Heilbronn 13.01.23 LG Heilbronn, Urteil vom 13. Januar 2023 – Bu 8 O 131/22, BeckRS 2023, 330 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen ersatzfähigen Schaden nachgewiesen. Die Beweislastumkehr des Art. 82 Abs. 3 DSGVO gelte nicht für den Schaden, sodass dessen Eintritt nicht vermutet werde. LG Kiel 12.01.23 LG Kiel, Urteil vom 12. Januar 2023 – 6 O 154/22, GRUR-RS 2023, 328 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Der Kläger habe dem Gericht zufolge keinen ersatzfähigen Schaden nachgewiesen. — AG Waldbröl 12.01.23 AG Waldbröl, Urteil vom 12. Januar 2023 – 3 C 100/22, BeckRS 2023, 2112 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Das Gericht verneint das Bestehen einer Erheblichkeitsschwelle oder Bagatellgrenze; der Kläger habe dem Gericht zufolge nicht dargelegt, dass er durch den Vorfall einen Kontrollverlust über seine personenbezogenen Daten, Ängste, Sorgen, Stress oder ähnliche Komforteinbußen, die eine spürbare persönliche Beeinträchtigung begründen, erlitten habe. / — Art. 82 DSGVO fuße dem Gericht zufolge nicht auf einer generellen Beweislastumkehr. LG Mönchengladbach 10.01.23 LG Mönchengladbach, Urteil vom 10. Januar 2023 – 3 O 87/22, BeckRS 2023, 2109 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Anhängig beim OLG Düsseldorf – I-16 U 31/23. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Die Beweislastumkehr des Art. 82 Abs. 3 DSGVO gelte nicht für den Schaden, sodass dessen Eintritt nicht vermutet werde. LG Hamburg 03.01.23 LG Hamburg, Urteil vom 3. Januar 2023 – 322 O 112/22, GRUR-RS 2023, 329 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Anhängig beim OLG Hamburg – 5 U 13/23. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — — LG Frankfurt a.M. 30.12.22 LG Frankfurt a.M., Urteil vom 30. Dezember 2022 – 2-31 O 148/22, BeckRS 2022, 42234 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen kausalen Schaden nachgewiesen. — LG Halle 28.12.22 LG Halle, Urteil vom 28. Dezember 2022 – 6 O 195/22, BeckRS 2022, 42233 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Die Veröffentlichung von Daten auf einer Social-Media-Plattform schließe dem Gericht zufolge aus, dass sich noch ein ungutes Gefühl ergeben könne, da bereits mit dem Einstellen der Daten auf der Plattform ein Zugang für jedermann möglich sei. — LG Bielefeld 19.12.22 LG Bielefeld, Urteil vom 19. Dezember 2022 – 8 O 182/22, GRUR-RS 2022, 38375 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Die Veröffentlichung von Daten auf einer Social-Media-Plattform schließe dem Gericht zufolge aus, dass sich noch ein Kontrollverlust ergeben könne, da die Kontrolle des Betroffenen über die Daten bereits mit dem Einstellen der Daten auf der Plattform ende. — LG Essen 10.11.22 LG Essen, Urteil vom 10. November 2022 – 6 O 111/22, GRUR-RS 2022, 34818 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Der Kläger habe dem Gericht zufolge keinen ersatzfähigen immateriellen Schaden und keine spürbare Beeinträchtigung persönlicher Belange nachgewiesen. Das Belassen der unveränderten Einstellungen auf der Plattform spreche gegen einen kausalen Schaden. — LG Gießen 03.11.22 LG Gießen, Urteil vom 3. November 2022 – 5 O 195/22, GRUR-RS 2022, 30480 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Der Aufforderung zum persönlichen Erscheinen in der Verhandlung sei der Kläger nicht nachgekommen, sodass man ihn hierzu nicht weiter befragen konnte. Die Veröffentlichung von Daten auf einer Social-Media-Plattform schließe dem Gericht zufolge mit Ausnahme der Telefonnummer aus, dass sich noch ein ungutes Gefühl ergeben könne, da bereits mit dem Einstellen der Daten auf der Plattform ein Zugang für jedermann möglich sei. — LG Ravensburg 26.10.22 LG Ravensburg, Urteil vom 26. Oktober 2022 – 1 O 89/22, GRUR-RS 2022, 43209 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. — AG Strausberg 13.10.22 AG Strausberg, Urteil vom 13. Oktober 2022 – 25 C 95/21, BeckRS 2022, 27811 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — LG Hannover 14.08.23 LG Hannover, Urteil vom 14. August 2023 – 18 O 89/22, BeckRS 2023, 29998 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 500 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 13 und Art. 25 DSGVO. Das Gericht zieht Art. 83 Abs. 2 DSGVO zur Ermittlung der Höhe des zu leistenden Betrages heran. — Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. OLG Stuttgart 22.11.23 OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 17/23 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Stuttgart, Urteil vom 26. Januar 2023 – 53 O 95/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. n.b. Das Gericht habe keine immaterielle Beeinträchtigung feststellen können und führt aus, dass Schilderungen bloßer Lästig- und Unannehmlichkeiten oder eines bloßen Kontrollverlusts noch keine Beeinträchtigung begründeten. n.b. OLG Stuttgart 22.11.23 OLG Stuttgart, Urteil vom 22. November 2023 – 4 U 20/23, GRUR-RS 2023, 32883 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Revision zugelassen; zum Verfahrensgang: LG Heilbronn, Urteil vom 13. Januar 2023 – Bu 8 O 131/22. / 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Verstoß gegen Art. 5 Abs. 1 lit. f) und Art. 25 Abs. 2 DSGVO. Das Gericht habe keine immaterielle Beeinträchtigung feststellen können und führt aus, dass Schilderungen bloßer Lästig- und Unannehmlichkeiten oder eines bloßen Kontrollverlusts noch keine Beeinträchtigung begründeten. — / Das Gericht bejahte lediglich den Feststellungsantrag, dass der Beklagte verpflichtet sei, dem Betroffenen künftige auf dem Datenleck beruhende Schäden zu ersetzen. OLG Hamm 17.11.23 OLG Hamm, Urteil vom 17. November 2023 – 7 U 71/23, GRUR-RS 2023, 32739 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Paderborn, Urteil vom 2. Mai 2023 – 2 O 406/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — — Das OLG Hamm betont, auch nach dem Vorlagebeschluss des BGH vom 26. September 2023 (VI ZR 97/22) an der Rechtsauffassung aus der eigenen Entscheidung vom 15. August 2023 (7 U 19/23) festzuhalten, dass ein bloß behaupteter Kontrollverlust nicht ausreichend ist, um einen immateriellen Schaden i.S.d. Art. 82 DSGVO nachzuweisen. Die vorherige Instanz hatte einen Anspruch in Höhe von EUR 500 bejaht. LG Paderborn 02.05.23 LG Paderborn, Urteil vom 2. Mai 2023 – 2 O 406/22 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform OLG Hamm, Urteil vom 17. November 2023 – 7 U 71/23. 500 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 13, Art. 32, Art. 24 und Art. 5 Abs. 1 lit. f) DSGVO. OLG Hamm 22.09.23 OLG Hamm, Beschluss vom 22. September 2023 – 7 U 77/23, GRUR-RS 2023, 32743 (juris); OLG Hamm, Beschluss vom 18. Oktober 2023 – 7 U 77/23, BeckRS 2023, 32741 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Detmold, Urteil vom 9. Mai 2023 – 2 O 136/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — — Das OLG Hamm betont, auch nach dem Vorlagebeschluss des BGH vom 26. September 2023 (VI ZR 97/22) an der Rechtsauffassung aus der eigenen Entscheidung vom 15. August 2023 (7 U 19/23) festzuhalten, dass ein bloß behaupteter Kontrollverlust nicht ausreichend ist, um einen immateriellen Schaden i.S.d. Art. 82 DSGVO nachzuweisen. LG Paderborn 03.02.23 LG Paderborn, Urteil vom 3. Februar 2023 – 3 O 220/22, GRUR-RS 2023, 33736 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 1.000 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 13, Art. 32, Art. 24 und Art. 5 Abs. 1 lit. f) DSGVO. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. LG Karlsruhe 23.02.23 LG Karlsruhe, Urteil vom 23. Februar 2023 – 4 O 108/22, GRUR-RS 2023, 33735 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 300 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 25 Abs. 2 DSGVO. LG Trier 17.03.23 LG Trier, Urteil vom 17. März 2023 – 2 O 116/22, GRUR-RS 2023, 33628 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 500 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 32, Art. 24 und Art. 5 Abs. 1 lit. f) DSGVO. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. LG Trier 17.03.23 LG Trier, Urteil vom 17. März 2023 – 2 O 50/22, GRUR-RS 2023, 33640 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 500 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 32, Art. 24 und Art. 5 Abs. 1 lit. f) DSGVO. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. OLG Köln 07.12.23 OLG Köln, Urteil vom 7. Dezember 2023 – 15 U 33/23, GRUR-RS 2023, 36757 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Aachen, Urteil vom 10. Februar 2023 – 8 O 200/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen immateriellen Schaden nachgewiesen. — LG Lübeck 07.12.23 LG Lübeck, Urteil vom 7. Dezember 2023 – 15 O 73/23, GRUR-RS 2023, 36852 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 500 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). Verstoß gegen Art. 6 und Art. 32 DSGVO. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. OLG München 14.09.23 OLG München, Verfügung vom 14. September 2023 – 14 U 3190/23 e, GRUR-RS 2023, 24733; OLG München, Berichtigungsbeschluss vom 12. Oktober 2023 – 14 U 3190/23 e, GRUR-RS 2023, 27344 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Kempten, Urteil vom 23. Juni 2023 – 13 O 293/23. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — LG Freiburg 15.09.23 LG Freiburg, Urteil vom 15. September 2023 – 8 O 21/23 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — / 367 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). / — Verstoß gegen Art. 5 Abs. 1 lit. f), Art. 6 Abs. 1, Art. 13 Abs. 1 lit. c), Art. 24 und Art. 32 DSGVO. Der Kläger habe dem Gericht zufolge keinen ersatzfähigen Schaden nachgewiesen. Bloße Verärgerung des Betroffenen über den DSGVO-Verstoß sei nicht ausreichend; bei dem Betroffenen müssten Angst und Besorgnis entstehen. / Es ging u.a. um Erstattung vorgerichtlicher Rechtsanwaltskosten nach Art. 82 DSGVO, die zugesprochen wurden. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen künftige materielle Schäden zu ersetzen. LG Köln 24.05.23 LG Köln, Urteil vom 24. Mai 2023 – 28 O 198/22 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). — Der Kläger habe dem Gericht zufolge keinen ersatzfähigen Schaden nachgewiesen. — OLG Köln 07.12.23 OLG Köln, Urteil vom 7. Dezember 2023 – 15 U 67/23, GRUR-RS 2023, 37347 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Anhängig beim BGH – VI ZR 10/24; LG Bonn, Urteil vom 29. März 2023 – 13 O 125/22. 0 Scraping/Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform (u.a. Namen, Telefonnummer). — — Das LG als vorherige Instanz hatte dem Betroffenen einen Schadensersatzanspruch in Höhe von EUR 250 zugesprochen. OLG Dresden 05.12.23 OLG Dresden, Urteil vom 5. Dezember 2023 – 4 U 709/23, GRUR-RS 2023, 36707 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Chemnitz, Urteil vom 20. März 2023 – 1 O 429/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Verstoß gegen Art. 6, Art. 25 Abs. 2 DSGVO. Der Kläger habe dem Gericht zufolge keinen kausalen immateriellen Schaden nachgewiesen. — Das LG als vorherige Instanz hatte dem Betroffenen einen Schadensersatzanspruch in Höhe von EUR 500 zugesprochen. OLG Hamm 21.12.23 OLG Hamm, Beschluss vom 21. Dezember 2023 – 7 U 137/23, GRUR-RS 2023, 37310 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Detmold, Urteil vom 24. August 2023 – 24 O 139/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — — Das OLG Hamm betont, auch nach den Urteilen des EuGH vom 14. Dezember 2023 (C-340/21) und des OLG Stuttgart vom 22. November 2023 (4 U 20/23) an der Rechtsauffassung aus der eigenen Entscheidung vom 15. August 2023 (7 U 19/23) festzuhalten, dass ein bloß behaupteter Kontrollverlust nicht ausreichend ist, um einen immateriellen Schaden i.S.d. Art. 82 DSGVO nachzuweisen. LG Arnsberg 31.10.23 LG Arnsberg, Urteil vom 31. Oktober 2023 – 7 O 691/22 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Kein Anspruch auf Ersatz eines Schadens nach Art. 82 DSGVO, da kein erlittener Schaden nachgewiesen worden sei; nicht näher konkretisiertes Vortragen des Gefühls von Kontrollverlust sei dem Gericht zufolge nicht ausreichend, da nicht genügend Beweisanzeichen objektiver Art, in denen sich Gefühle wie Kontrollverlust, Beobachtetwerden, Hilflosigkeit, Angst, bezogen auf den konkreten Einzelfall oder konkrete Missbrauchsversuche vorgetragen worden seien. Diese müssten über die negativen Gefühle, die man automatisch entwickele, wenn ein Gesetz zu eigenen Ungunsten verletzt werde, hinausgehen. Der Kläger habe beispielsweise nicht dazu vorgetragen, die Nutzung der Plattform eingestellt, Profileinstellungen geändert oder die Mobilfunknummer gewechselt zu haben. — LG Stuttgart 24.01.24 LG Stuttgart, Urteil vom 24. Januar 2024 – 27 O 92/23, GRUR-RS 2024, 523 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform aufgrund offener API-Schnittstelle. — — OLG Köln 07.12.23 OLG Köln, Urteil vom 7. Dezember 2023 – 15 U 99/23, GRUR-RS 2023, 37562 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Revision zugelassen; LG Aachen, Urteil vom 23. Mai 2023 – 8 O 241/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — — OLG Köln 07.12.23 OLG Köln, Urteil vom 7. Dezember 2023 – 15 U 108/23, GRUR-RS 2023, 37546 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Köln, Urteil vom 31. Mai 2023 – 28 O 138/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — — LG Chemnitz 29.09.23 LG Chemnitz, Urteil vom 29. September 2023 – 1 O 284/23, GRUR-RS 2023, 39654 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 500 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Verstoß gegen Art. 13, Art. 14, Art. 25 Abs. 2, Art. 32, Art. 33 und Art. 34 DSGVO. Vom Betroffenen könne dem Gericht zufolge nicht erwartet werden, dass er konkrete Angaben dazu macht, wie sich der Kontrollverlust auf seine persönliche Lebensgestaltung ausgewirkt hat. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. LG Dortmund 24.01.24 LG Dortmund, Urteil vom 24. Januar 2024 – 3 O 37/23, GRUR-RS 2024, 914 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen immateriellen Schaden nachgewiesen. — OLG München 23.03.23 OLG München, Beschluss vom 23. März 2023 – 5 W 194/23 e, BeckRS 2023, 5803 (juris) Sonstiges LG München I, Beschluss vom 26. April 2023 – 29 O 13114/21, BeckRS 2023, 11840 (juris); LG München I, Urteil vom 25. Januar 2023 – 29 O 13114/21, BeckRS 2023, 5804. — 0 Das Gericht hatte die hinreichende Erfolgsaussicht im Rahmen eines Prozesskostenhilfebeschlusses zu beurteilen, bei dem der Kläger in einem Hauptsacheverfahren widerklagend Ersatz eines immateriellen Schadens nach Art. 82 DSGVO geltend machen möchte. — — Das Gericht weist auf das Vorlageverfahren vor dem EuGH zu der Frage hin, ob bereits ein DSGVO-Verstoß selbst die Schadensersatzpflicht aus Art. 82 DSGVO auslöst. — — Das LG als vorherige Instanz hatte die Prozesskostenhilfe versagt. OLG Bremen 16.07.21 OLG Bremen, Beschluss vom 16. Juli 2021 – 1 W 18/21, BeckRS 2021, 19934 (juris) Sonstiges LG Bremen, Beschluss vom 22. Februar 2021 – 1 O 135/20. 0 Sofortige Beschwerde gegen ablehnenden Beschluss für Prozesskostenhilfe der Antragstellerin, die in einem Hauptsacheverfahren den Ersatz eines immateriellen Schadens nach Art. 82 DSGVO geltend machen wollte. — Antragstellerin habe nicht dargelegt, dass ein immaterieller Schaden entstanden sei. — FG Baden-Württemberg 18.10.21 FG Baden-Württemberg, Urteil vom 18. Oktober 2021 – 10 K 759/21, BeckRS 2021, 56079 (juris) Sonstiges — 0 Zwischen dem Kläger und dem Finanzamt war streitig, ob Steuerunterlagen durch die Behörde fehlerhaft an eine dritte Person versendet wurden. — Der Kläger habe dem Gericht zufolge nicht zur vollen richterlichen Überzeugung nachgewiesen, dass ein immaterieller Schaden entstanden sei. — LG Essen 23.09.21 LG Essen, Urteil vom 23. September 2021 – 6 O 190/21, GRUR-RS 2021, 31764 (juris) Sonstiges — 0 Verlust eines per Post versendeten unverschlüsselten USB-Sticks mit personenbezogenen Daten. Ein "ungutes Gefühl" genügt nicht zur Annahme eines Schadens, wenn sich keine weiteren negativen Auswirkungen als Folge des Datenverlusts zeigten. — LG Karlsruhe 02.08.19 LG Karlsruhe, Urteil vom 2. August 2019 – 8 O 26/19, BeckRS 2019, 17459 (juris) Sonstiges Anhängig beim OLG Karlsruhe – 8 U 108/19. 0 Unterlassene Berichtigung eines fehlerhaften Basisscores zur Beurteilung der Kreditwürdigkeit durch Wirtschaftsauskunftei (Versagung eines Verbraucherdarlehens aufgrund des negativen Bonitätsscores). Kein DSGVO-Verstoß (insb. kein Verstoß gegen Art. 16 DSGVO, da zu unrichtigen oder unvollständigen Daten nicht vorgetragen wurde). Keine benennbare, tatsächliche Persönlichkeitsverletzung. — Beweislastumkehr gemäß Art. 82 Abs. 3 DSGVO; Exkulpationsmöglichkeit folge strengen Maßstäben. OLG Dresden 31.08.21 OLG Dresden, Urteil vom 31. August 2021 – 4 U 324/21, BeckRS 2021, 29290 (juris) Sonstiges — 0 Behaupteter Verlust personenbezogener Daten auf einer anlässlich der Reparatur eines Laptops übersendeten Festplatte zur Datensicherung. Offengelassen, ob ein Datenverlust ein Schaden i.S.d. Art. 82 DSGVO sein kann. — AG München 04.08.22 AG München, Urteil vom 4. August 2022 – 211 C 578/22, GRUR-RS 2022, 28431 Sonstiges — 0 Einlösen von Bonuspunkten in einem Kundenbindungsprogramm durch unbefugte Dritte über den Account des Klägers. Der Kläger sah den Account als nicht ausreichend technisch gesichert an. — OLG Hamm 20.01.23 OLG Hamm, Urteil vom 20. Januar 2023 – 11 U 88/22, GRUR-RS 2023, 1263 (juris) Unbefugte Datenabflüsse und -weitergaben LG Essen, Urteil vom 2. Juni 2022 – 1 O 272/21. () 100 Versehentliche Versendung einer Excel-Datei mit personenbezogenen Daten (u.a. Name, Anschrift, Geburtsdatum, vorgesehener Impfstoff, Anzahl der Impfungen, teilweise E-Mail-Adresse, Telefonnummer) von ca. 13.000 Personen, die einen Termin für eine Corona-Impfung in dem von der Beklagten betriebenen Impfzentrum gebucht hatten, an 1.200 Empfänger per E-Mail. Bezüglich 500 Versendungen wurde ein erfolgreicher Rückruf der E-Mail durchgeführt. Verstoß gegen Art. 5 Abs. 1 lit. a) und lit. f), Art. 9 DSGVO. Die Anwendbarkeit einer Bagatellgrenze verneint das OLG. () Aufrechterhaltung der durch die Vorinstanz (LG Essen – 1 O 272/21) zugesprochenen EUR 100. LG Meiningen 23.12.20 LG Meiningen, Urteil vom 23. Dezember 2020 – 3 O 363/20, BeckRS 2020, 48027 Unbefugte Datenabflüsse und -weitergaben — () 10.000 Freigabe von den Versicherten betreffenden Gesundheitsdaten aus einem Sachverständigengutachten, das für ein ordentliches Gerichtsverfahren betreffend die Folgen eines Verkehrsunfalls angefertigt wurde, durch seine Versicherung an die sie vertretende Rechtsanwaltskanzlei, die in einem weiteren ordentlichen Gerichtsverfahren denselben Unfall betreffend ebenfalls nicht den Versicherten, sondern eine weitere Versicherung als Gegenseite des Versicherten vertrat, ohne Einwilligung des Versicherten; die Rechtsanwältin verwendete Zitate aus dem Gutachten in einem anwaltlichen Schriftsatz für letzteres Verfahren. Weitergabe nicht nach Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt, da die Interessen des Betroffenen überwiegen. — Schadensersatzanspruch nach Art. 82 DSGVO offengelassen, da bereits Anspruch aufgrund einer Nebenpflichtverletzung aus dem Versicherungsvertrag bejaht. — () LG Köln 18.05.22 LG Köln, Urteil vom 18. Mai 2022 – 28 O 328/21, ZD 2022, 506 Unbefugte Datenabflüsse und -weitergaben Zu einem Verfahren denselben Datenvorfall betreffend: Das LG München I hat einem anderen Kläger bzgl. desselben Datenvorfalls EUR 2.500 Schadensersatz zugesprochen, LG München I, Urteil vom 9. Dezember 2021 – 31 O 16606/20; und zur EuGH-Vorlage: AG München, Vorabentscheidungsersuchen vom 3. März 2022 (eingereicht am 10. März 2022) – 132 C 1263/21 und 132 C 737/22. 1.200 Datenabfluss aufgrund eines Datenlecks (u.a. von Konto- und Ausweisdaten) bei einem Finanzdienstleistungsunternehmen (Scalable Capital). Verstoß gegen Art. 32 DSGVO, da keine ausreichenden organisatorischen Maßnahmen vorgenommen worden seien, um den Datenabfluss zu verhindern. OLG Hamm 31.08.21 OLG Hamm, Urteil vom 31. August 2021 – 9 U 56/20, BeckRS 2021, 46262 (juris) Unbefugte Datenabflüsse und -weitergaben LG Bochum, Urteil vom 22. Januar 2020 – I-2 O 186/19; zum arbeitsgerichtlichen Verfahren: LAG Hamm, Urteil vom 14. Dezember 2021 – 17 Sa 1185/20; ArbG Herne, Urteil vom 15. Juli 2020 – 1 Ca 982/19; BAG, 11. März 2022, 2 AZR 81/22 (Erledigung wegen Rücknahme). 4.000 Übermittlung personenbezogener Daten eines Arbeitnehmers innerhalb eines Klinikverbunds. — — Das LG Bochum (I-2 O 186/19) hatte zuvor EUR 8.000 zugesprochen. LG Bochum 22.01.20 LG Bochum, Urteil vom 22. Januar 2020 – I-2 O 186/19, BeckRS 2020, 58911 (juris) Unbefugte Datenabflüsse und -weitergaben OLG Hamm, Urteil vom 31. August 2021 – 9 U 56/20; zum arbeitsgerichtlichen Verfahren: LAG Hamm, Urteil vom 14. Dezember 2021 – 17 Sa 1185/20; ArbG Herne, Urteil vom 15. Juli 2020 – 1 Ca 982/19; BAG, 11. März 2022, 2 AZR 81/22 (Erledigung wegen Rücknahme). 8.000 Übermittlung personenbezogener Daten eines Arbeitnehmers innerhalb eines Klinikverbunds. Das OLG Hamm (9 U 56/20) hat EUR 4.000 zugesprochen. AG Stuttgart 27.09.22 AG Stuttgart, Urteil vom 27. September 2022 zur Aufrechterhaltung eines Versäumnisurteils – 12 Ca 359/21. Vielen Dank an Rechtsanwalt Thomas Lang aus Stuttgart für die Informationen. Unbefugte Datenabflüsse und -weitergaben — 15.000 Weitergabe höchstpersönlicher Daten (Einschätzung zu etwaigem Alkoholmissbrauch und Suizidversuch) an einen Dritten durch Geschäftsführer der Beklagten u.a. gegenüber einem Arbeitgeber und einer Verwaltungsstelle mit vom Gericht angenommener Schädigungsabsicht. Bejaht wurde zudem ein Anspruch nach §§ 823 Abs. 1, 1004 Abs. 1 S. 2, 249 BGB analog i.V.m. §§ 22 ff. KUG, Art. 1 Abs. 1, Art. 2 Abs. 1 GG. ArbG Dresden 26.08.20 ArbG Dresden, Urteil vom 26. August 2020 – 13 Ca 1046/20, BeckRS 2020, 26940 (juris) Unbefugte Datenabflüsse und -weitergaben Anhängig beim Sächsischen LAG – 1 Sa 368/20 (juris). 1.500 Weitergabe von Gesundheitsdaten (bzgl. Arbeitsunfähigkeit eines ausländischen Arbeitnehmers) durch ehemaligen Arbeitgeber an Ausländerbehörde. Verstoß gegen Art. 9 Abs. 1 DSGVO. Immaterieller Schaden wegen Rufschädigung/Kontrollverlust über Daten. Arbeitgeber habe Entlastungsbeweis nach Art. 82 Abs. 3 DSGVO nicht geführt. LAG Hamm 14.12.21 LAG Hamm, Urteil vom 14. Dezember 2021 – 17 Sa 1185/20, ZD 2022, 295 (juris) Unbefugte Datenabflüsse und -weitergaben ArbG Herne, Urteil vom 15. Juli 2020 – 1 Ca 982/19; BAG, 11. März 2022, 2 AZR 81/22 (Erledigung wegen Rücknahme) (juris). 2.000 Übermittlung personenbezogener Daten eines Arbeitnehmers innerhalb eines Klinikverbunds. Datenübermittlung unter Verstoß gegen Art. 5 Abs. 1 lit. a) Var. 1 und Art. 6 Abs. 1 DSGVO. Das Gericht verneint eine Erheblichkeitsschwelle als Voraussetzung für einen Anspruch aus Art. 82 DSGVO. Da der Beklagte selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen habe, ließ das Gericht eine etwaige Zurechnung ähnlicher Unterlassungen bei Drittunternehmen offen. OLG Düsseldorf 28.10.21 OLG Düsseldorf, Urteil vom 28. Oktober 2021 – 16 U 275/20, GRUR-RS 2021, 38036 (juris) Unbefugte Datenabflüsse und -weitergaben LG Wuppertal, Urteil vom 3. August 2020 – 3 O 101/19. 2.000 Übersendung der Gesundheitsakte des Klägers durch die beklagte gesetzliche Krankenversicherung an eine falsche E-Mail-Adresse. Die Löschung des Postfachs mit der E-Mail-Adresse, an die die Akte versehentlich gesendet wurde, erfolgte durch den Provider einige Monate später, wovon der Kläger zehn Monate lang nicht erfuhr. Datenübermittlung u.a. ohne Erfüllung einer der Bedingungen des Art. 6 DSGVO. Für die betroffene Person bestand ein zehnmonatiger Kontrollverlust. Fahrlässigkeit des Verstoßes bei der Bemessung des Schadensersatzes zu beachten. LAG Köln 14.09.20 LAG Köln, Urteil vom 14. September 2020 – 2 Sa 358/20, ZD 2021, 168 (juris) Unbefugte Datenabflüsse und -weitergaben ArbG Köln, Urteil vom 12. März 2020 – 5 Ca 4806/19. 300 Versehentliche Aufrechterhaltung der Sichtbarkeit einer PDF-Datei mit dem Tätigkeitsprofil einer Professorin nach Ende der Beschäftigung auf dem Server der Arbeitgeberin. DSGVO-Verstoß bejaht (Intensität der Rechtsverletzung sei jedoch nur marginal). Kausaler immaterieller Schaden (jedoch kein Reputationsschaden und keine Rechtsverfolgungskosten). Geringer Verschuldensgrad sei bei Bemessung der Höhe zu berücksichtigen. OLG Naumburg 02.03.23 OLG Naumburg, Urteil vom 2. März 2023 – 4 U 81/22 Unbefugte Datenabflüsse und -weitergaben LG Magdeburg, Urteil vom 24. Mai 2022 – 9 O 1571/20. 4.000 Einmeldung zur Schufa einer zu diesem Zeitpunkt nicht mehr bestehenden Forderung. — OLG Dresden 29.08.23 OLG Dresden, Beschluss vom 29. August 2023 – 4 U 1078/23, GRUR-RS 2023, 26617 (juris) Unbefugte Datenabflüsse und -weitergaben LG Leipzig, Urteil (Datum n.b.) – 06 O 2378/22. 1.500 Rechtswidrige Einmeldung zur Schufa. Das OLG Dresden hat die Berufung des Klägers gegen die Entscheidung der Vorinstanz, die den Schadensersatz in Höhe von EUR 1.500 zugesprochen hatte, ohne mündliche Verhandlung zurückgewiesen. OLG Dresden 30.11.21 OLG Dresden, Urteil vom 30. November 2021 – 4 U 1158/21, GRUR-RS 2021, 39660 Unbefugte Datenabflüsse und -weitergaben LG Dresden, Urteil vom 26. Mai 2021 – 8 O 1286/19; OLG Dresden, Beschluss vom 14. Februar 2022 – 4 U 1158/21. 5.000 Unrechtmäßige Datenverarbeitung (Ausspähung von Daten und Weitergabe der Daten). Der Schadensersatzanspruch setze dem Gericht zufolge das Überschreiten einer Bagatellgrenze voraus, die in dem vorliegenden Fall erreicht sei. LG Mainz 12.11.21 LG Mainz, Urteil vom 12. November 2021 – 3 O 12/20, GRUR-RS 2021, 34695 (juris) Unbefugte Datenabflüsse und -weitergaben OLG Koblenz, Urteil vom 23. Januar 2023 – 12 U 2194/21; anhängig beim BGH – VI ZR 67/23. 5.000 Einmeldung zur Schufa nach Erlass eines Mahnbescheides zu einem Zeitpunkt, bevor dieser an den Betroffenen zugestellt wurde. Datenübermittlung u.a. ohne Erfüllung einer der Bedingungen des Art. 6 DSGVO. LG Köln 28.09.22 LG Köln, Urteil vom 28. September 2022 – 28 O 21/22, BeckRS 2022, 34110 (juris) Unbefugte Datenabflüsse und -weitergaben — 4.000 Kontaktaufnahme mit dem Arbeitgeber des Betroffenen hinsichtlich der Finanzierung eines privaten Pkw-Kaufs bei einem Konkurrenzunternehmen sowie Nebeneinkünften nach erfolgter Kommunikation über die berufliche E-Mail-Adresse des Betroffenen. LG München I 20.01.22 LG München I, Urteil vom 20. Januar 2022 – 3 O 17493/20, BeckRS 2022, 612 (juris) Unbefugte Datenabflüsse und -weitergaben — 100 Übermittlung der dynamischen IP-Adresse an Google ohne Einwilligung des Betroffenen durch Einbettung der Schriftart Google Fonts auf der Homepage der Beklagten, die eine Verbindung zum Google-Server in den USA herstellte. Verstoß gegen Art. 6 Abs. 1 lit. a) und lit. f) DSGVO. AG Pforzheim 27.01.22 AG Pforzheim, Urteil vom 27. Januar 2022 – 2 C 381/21, BeckRS 2022, 4335 (juris) Unbefugte Datenabflüsse und -weitergaben — 1.500 Weitergabe von personenbezogenen Daten an Abrechnungszentrum durch Arztpraxis ohne Einwilligung und Information. Verstoß gegen Art. 6 Abs. 1 und Art. 14 Abs. 1 DSGVO. VG Köln 23.02.23 VG Köln, Urteil vom 23. Februar 2023 – 13 K 278/21, BeckRS 2023, 16294 (juris) Unbefugte Datenabflüsse und -weitergaben — 1.000 Versendung von Beihilfebelegen durch das Bundesverwaltungsamt an einen Dritten (u.a. mit Rechnungen verschiedener Fachärzte). Verstoß gegen Art. 9 Abs. 1 DSGVO. LAG Düsseldorf 26.04.23 LAG Düsseldorf, Urteil vom 26. April 2023 – 12 Sa 18/23, BeckRS 2023, 24880 (juris) Unbefugte Datenabflüsse und -weitergaben Anhängig beim BAG – 8 AZR 225/23; zum Verfahrensgang: ArbG Krefeld, Urteil vom 17. November 2022 – 4 Ca 566/22. 1.500 Heimliche Detektivüberwachung durch nunmehr ehemaligen Arbeitgeber zur Verwendung der Bilder zur Bewertung des Gesundheitszustandes des Arbeitnehmers. Verstoß gegen Art. 5 Abs. 1, Art. 6 Abs. 1, 3 und Art. 9 DSGVO. OLG Koblenz 18.05.22 OLG Koblenz, Urteil vom 18. Mai 2022 – 5 U 2141/21, ZD 2022, 617 (juris) Unbefugte Datenabflüsse und -weitergaben LG Koblenz, Urteil vom 29. Oktober 2021 – 12 O 59/21. 500 Datenmitteilung an die Schufa durch ein Telekommunikationsunternehmen zu einem Zeitpunkt, als der geltend gemachte Zahlungsanspruch zwischen den Parteien streitig war. Der DSGVO-Schadensersatzanspruch wurde im Rahmen einer Widerklage geltend gemacht. Verstoß gegen Art. 5, Art. 6 i.V.m. Art. 4 Nr. 2 DSGVO. OLG Frankfurt a.M. 14.04.22 OLG Frankfurt a.M., Urteil vom 14. April 2022 – 3 U 21/20 (juris) Unbefugte Datenabflüsse und -weitergaben LG Frankfurt a.M., Urteil vom 13. Dezember 2019 – 2-25 O 136/19, BeckRS 2019, 60467. 500 Versendung eines Kontoabschlusses des Klägers u.a. mit Informationen zu Kontosaldo und Sollzinsen durch ein Kreditinstitut an einen unbeteiligten Dritten sowie Anlass zur Annahme, dass dies nach Bemerken des Fehlers ein weiteres Mal geschehen sein könnte. Außerdem erfolgte eine Einmeldung der unrichtigen Adresse des Dritten als "frühere Adresse" des Klägers zur Schufa. Verstoß gegen Art. 6 Abs. 1 DSGVO. Der Kläger habe einen Kontrollverlust erlitten sowie Zeit und Mühe aufgewendet, um diesen zu beheben. Anspruchsgrundlage ist Art. 82 DSGVO i.V.m. §§ 249, 253 BGB. LG Darmstadt 26.05.20 LG Darmstadt, Urteil vom 26. Mai 2020 – 13 O 244/19, BeckRS 2020, 25785 (juris) Unbefugte Datenabflüsse und -weitergaben OLG Frankfurt a.M., Urteil vom 2. März 2022 – 13 U 206/20. 1.000 Irrtümliche Weiterleitung von Bewerberdaten an unbeteiligten Dritten durch Bank im Rahmen eines Bewerbungsprozesses (insb. keine unverzügliche Mitteilung an den Bewerber über fehlerhafte Weiterleitung). Verstoß gegen Art. 6 Abs. 1 lit. a) und Art. 34 DSGVO. Überschreiten einer etwaigen Bagatellgrenze durch Kontrollverlust über Bewerberdaten (Ansehensverlust/berufliche Nachteile). — OLG Köln 04.05.23 OLG Köln, Urteil vom 4. Mai 2023 – 15 U 3/23 (juris) Unbefugte Datenabflüsse und -weitergaben LG Bonn, Urteil vom 14. Dezember 2022 – 17 O 168/22. 1.500 Verwendung des Namens des Klägers sowie eines von ihm stammenden Zitats in Versandkatalog. Verstoß gegen Art. 6 Abs. 1 lit. a) und Art. 7 Abs. 1 DSGVO. Das Gericht berechnet den Anspruch auf Zahlung von Schadensersatz der Höhe nach in Form einer fiktiven Lizenzgebühr. LG München I 09.12.21 LG München I, Urteil vom 9. Dezember 2021 – 31 O 16606/20, BeckRS 2021, 41707 (juris) Unbefugte Datenabflüsse und -weitergaben Zu einem Verfahren denselben Datenvorfall betreffend: LG Köln, Urteil vom 18. Mai 2022 – 28 O 328/21; und zur EuGH-Vorlage: AG München, Vorabentscheidungsersuchen vom 3. März 2022 (eingereicht am 10. März 2022) – 132 C 1263/21 und 132 C 737/22); (Klagewelle wegen Schadensersatz nach Datenschutzverstoß? (cmshs-bloggt.de). 2.500 Datenabfluss aufgrund eines Datenlecks, u.a. von Konto- und Ausweisdaten, bei einem Finanzdienstleistungsunternehmen (Scalable Capital). Verstoß gegen Art. 32 DSGVO, da keine ausreichenden organisatorischen Maßnahmen vorgenommen worden seien, um den Datenabfluss zu verhindern. Bei Einhaltung der Maßstäbe der DSGVO wäre der Schaden, dass dem Kläger u.a. Identitätsmissbrauch droht, vermeidbar gewesen. / — Da der Beklagte selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen habe, ließ das Gericht eine etwaige Zurechnung ähnlicher Unterlassungen bei Drittunternehmen offen. LG Lüneburg 14.07.20 LG Lüneburg, Urteil vom 14. Juli 2020 – 9 O 145/19, BeckRS 2020, 36932 (juris) Unbefugte Datenabflüsse und -weitergaben — 1.000 Meldung einer Kontoüberziehung eines Bankkunden in Höhe von EUR 20 gegenüber einer Wirtschaftsauskunftei durch kontoführende Bank infolge der Überziehung eines Dispositionskredits. Verstoß gegen Art. 6 Abs. 1 und Art. 17 Abs. 1 lit. d) DSGVO. Kontrollverlust über Daten, mittelbare potentielle Stigmatisierung bzgl. fehlender Kreditwürdigkeit (kein genereller Ausschluss von Bagatellfällen). — AG Hildesheim 05.10.20 AG Hildesheim, Urteil vom 5. Oktober 2020 – 43 C 145/19, BeckRS 2020, 30107 (juris) Unbefugte Datenabflüsse und -weitergaben — 800 Veräußerung eines zurückgegebenen Computers an einen Dritten durch ein Unternehmen ohne vorherige Festplattenformatierung, wodurch Dritter Einsicht in Datenreste des ehemaligen Nutzers erhielt (u.a. Rechnung mit Kontaktdaten, Fotos, Steuererklärung). Verstoß gegen Art. 6 Abs. 1 lit. a) DSGVO. Kausaler immaterieller Schaden (Zugänglichmachung von Daten in einem nicht unerheblichen Umfang, jedoch nur für begrenzte Zeit) und Ersatz vorgerichtlicher Anwaltskosten. Keine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO, da Fahrlässigkeit des Verantwortlichen (insb. kein Mitverschulden der betroffenen Person). AG Pforzheim 25.03.20 AG Pforzheim, Urteil vom 25. März 2020 – 13 C 160/19, BeckRS 2020, 27380 (juris) Unbefugte Datenabflüsse und -weitergaben — 4.000 Speicherung und Weitergabe von Gesundheitsdaten (Angaben zur Diagnostik, zum Alkoholmissbrauch und zur Notwendigkeit einer psychiatrischen Behandlung) durch Psychotherapeuten an Rechtsanwalt zur Verwertung in gerichtlichem Umgangsverfahren. Verstoß gegen Art. 9 Abs. 1 DSGVO. Abschreckungs- und Genugtuungsfunktion (besonders sensible Daten, drohende Rufschädigung, höchstpersönliche Sphäre). Eher geringes Verschulden, da der Verantwortliche keine kommerziellen Interessen verfolgt habe. OLG Stuttgart 31.03.21 OLG Stuttgart, Urteil vom 31. März 2021 – 9 U 34/21, GRUR-RS 2021, 6282 (juris) Unbefugte Datenabflüsse und -weitergaben LG Stuttgart, Urteil vom 11. November 2020 – 14 O 273/20, Verfahren vor dem BGH – VI ZR 111/21 erledigt. 0 Datendiebstahl aufgrund eines Datenlecks des Kundendatenbestands eines Kreditkartenanbieters sowie verspätete Auskunft hierüber. Kein Verstoß gegen Art. 15 Abs. 1 oder Art. 32 DSGVO, da keinen Nachweis einer kausalen Pflichtverletzung erbracht (Art. 5 Abs. 2 DSGVO bewirke keine Beweislastumkehr im Zivilprozess; Grundsätze primärer und sekundärer Beweislast ausreichend). — LAG Stuttgart 25.02.21 LAG Stuttgart, Urteil vom 25. Februar 2021 – 17 Sa 37/20, ZD 2021, 436, Datenschutzverstoß: Schadensersatz setzt erlittenen Schaden voraus (cmshs-bloggt.de) Unbefugte Datenabflüsse und -weitergaben ArbG Ulm, Urteil vom 14. November 2019 – 5 Ca 18/18; BAG, Aussetzungs- und Vorlagebeschluss vom 22. September 2022 – 8 AZR 209/21 (A); anhängig beim EuGH – C-65/23. 0 Verarbeitung von Kategorien personenbezogener Daten zu Testzwecken (Workday), die nicht von einer Betriebsvereinbarung erfasst wurden, sowie Übermittlung von Daten an Konzernmutter in Drittland (USA) u.a. aufgrund von Standardvertragsklauseln. / Verneint: Verstoß gegen Art. 28 und Art. 44 ff. DSGVO. Bejaht: Verstoß gegen § 26 Abs. 4 BDSG i.V.m. den Bestimmungen einer Betriebsvereinbarung. Kein Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO, da kein Schaden "erlitten" sei, wenn Daten, die zulässig im Produktivsystem verarbeitet werden, rechtswidrig im Testsystem verarbeitet werden. — AG Frankfurt a.M. 10.07.20 AG Frankfurt a.M., Urteil vom 10. Juli 2020 – 385 C 155/19 (70), BeckRS 2020, 22861 (juris) Unbefugte Datenabflüsse und -weitergaben Das LG Frankfurt a.M. – 2-15 S 73/20 hat die Berufung zurückgewiesen. 0 Offenlegung von Daten aus einem Hotel-Buchungssystem infolge eines Systemfehlers und befürchteter Missbrauch der Daten durch Dritte seitens eines von dem Datenleck betroffenen ehemaligen Kunden. Verstoß gegen Art. 5 Abs. 1 lit. f) DSGVO aufgrund einer Datenverarbeitung ohne hinreichende technische und organisatorische Maßnahmen. Anmerkung CMS: Zugleich Verstoß gegen Art. 32 DSGVO. Kausaler Schaden verneint (Gefühl des Unbehagens dem Gericht zufolge nicht ausreichend, sondern öffentliche Bloßstellung erforderlich). — Jedenfalls kein Verschulden der Verantwortlichen bzgl. der behaupteten Verletzung der Auskunfts- und Mitteilungspflicht. AG Berlin-Charlottenburg 20.12.22 AG Berlin-Charlottenburg, Urteil vom 20. Dezember 2022 – 2 17 C 64/22, BeckRS 2022, 37243 Unbefugte Datenabflüsse und -weitergaben — 0 Massenabmahner verlangte Schadensersatz wegen vermeintlicher Einbindung von Google Fonts auf der Homepage der Kläger, die in der Folge negative Feststellungsklage erhoben. Das Gericht stellte fest, dass dem Abmahnenden weder aus der DSGVO noch aus anderen Rechtsgrundlagen ein Schadensersatzanspruch zustehe. — Weitere ablehnende Entscheidungen diesbzgl. u.a.: LG München I, Urteil vom 30. März 2023 – 4 O 13063/22, MMR 2023, 524; AG Ludwigsburg, Urteil vom 28. Februar 2023 – 8 C 1361/22, GRUR-RS 2023, 6371 (juris); einen Unterlassungsanspruch der abgemahnten Partei bestätigend, da der die Webseiten aufsuchende Massenabmahner konkludent in die Datenverarbeitung einwillige: LG Baden-Baden, Urteil vom 21. Dezember 2022 – 3 O 277/22, GRUR-RS 2022, 44105 (juris) LG München I 09.02.23 LG München I, Urteil vom 9. Februar 2023 – 5 O 5853/22, BeckRS 2023, 20930 Unbefugte Datenabflüsse und -weitergaben — 0 Datenleck bei einem Wertpapierinstitut, das sog. Robo Advisor anbietet. Das Gericht bejaht einen Verstoß gegen Art. 32 Abs. 1 DSGVO. Der Beklagte habe gegen die DSGVO verstoßen, allerdings sei dem Kläger hierdurch kein Schaden entstanden. Der Kläger habe nicht vorgetragen, dass ihm Beeinträchtigungen entstanden seien, die über ein unkonkretes Gefühl des Kontrollverlusts über seine Daten hinausgingen. — Das Gericht stellte lediglich die Pflicht der Beklagten fest, künftig kausal entstehende materielle Schäden ersetzen zu müssen. LG Frankfurt a.M. 18.01.21 LG Frankfurt a.M., Urteil vom 18. Januar 2021 – 2-30 O 147/20, BeckRS 2021, 20351 Unbefugte Datenabflüsse und -weitergaben — 0 Offenlegung von im Rahmen eines Bonusprogramms erhobenen Teilnehmerdaten (insb. Kreditkartennummern) infolge eines Datenvorfalls bei der Betreiberin von Zahlungsdiensten. DSGVO-Verstoß sei von dem Kläger nicht schlüssig vorgetragen. Pflichtverletzung durch die Verantwortliche, die kausal für den Datenvorfall wäre, sei von dem Kläger nicht schlüssig vorgetragen (Vermutung des Art. 82 Abs. 3 DSGVO beziehe sich nur auf Verantwortlichkeit, nicht auf Verstoß selbst). OLG Koblenz 23.01.23 OLG Koblenz, Urteil vom 23. Januar 2023 – 12 U 2194/21, BeckRS 2023, 2551 Unbefugte Datenabflüsse und -weitergaben LG Mainz, Urteil vom 12. November 2021 – 3 O 12/20; anhängig beim BGH – VI ZR 67/23. 0 Einmeldung zur Schufa nach Titulierung einer Forderung durch einen Vollstreckungsbescheid. "Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es […] nahegelegen, dies – wie z. B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (VO (EG) 261/2004) – durch Pauschalen zu regeln [...]". Der Kläger habe keinen konkreten Schaden nachgewiesen. Die Möglichkeit persönlichen Ärgers und Komplikationen mit Gläubigern und/oder kreditführenden Instituten bei versäumter Tilgung von Verbindlichkeiten stelle ein allgemeines Lebensrisiko dar, sodass deren Bewältigung nicht direkt schadensrechtliche Folgen auslöse. — AG München 03.08.23 AG München, Urteil vom 3. August 2023 – 241 C 10374/23, BeckRS 2023, 20971 Unbefugte Datenabflüsse und -weitergaben — 0 IT-Vorfall und Datenabfluss bei einem Wertpapierinstitut. — Dem Gericht zufolge sei keine Darlegung eines DSGVO-Verstoßes erfolgt. Dem Gericht zufolge sei keine Darlegung eines kausalen Schadens erfolgt. — FG Berlin-Brandenburg 09.03.23 FG Berlin-Brandenburg, Urteil vom 9. März 2023 – 16 K 16155/21, BeckRS 2023, 15992 (juris) Unbefugte Datenabflüsse und -weitergaben Anhängig beim BFH – IX R 10/23. 0 Verarbeitung personenbezogener Daten durch das beklagte Finanzamt im Rahmen einer Durchführung der Besteuerung von Dritten ohne Beteiligung des Klägers. Der Kläger habe keinen konkreten Schaden nachgewiesen. — LG Frankfurt a.M. 20.12.18 LG Frankfurt a.M., Urteil vom 20. Dezember 2018 – 2-05 O 151/18 (juris) Unbefugte Datenabflüsse und -weitergaben — 0 Eintragung über eine Restschuldbefreiung bei einer Wirtschaftsauskunftei. Verstoß gegen Art. 17 Abs. 1 lit. c) Var. 1 und Art. 21 Abs. 1 DSGVO. Ein DSGVO-Verstoß i.S.d. Art. 82 DSGVO liege dem Gericht zufolge erst vor, wenn der Verantwortliche ab dem Widerspruch des Betroffenen nicht Abstand von der weiteren Verarbeitung und Wiedergabe der Daten nimmt; diese Pflicht trete erst ab Kenntnis aller relevanten Umstände ein. — AG Bochum 11.03.19 AG Bochum, Beschluss vom 11. März 2019 – 65 C 485/18, BeckRS 2019, 14869 (juris) Unbefugte Datenabflüsse und -weitergaben — 0 Unverschlüsselte Übersendung einer Bestellungsurkunde (zwecks Offenlegung des Betreuungsverhältnisses) an Prozessbevollmächtigten durch Betreuerin. Kein DSGVO-Verstoß (Datenverarbeitung sei nach Art. 6 Abs. 1 lit. b) DSGVO zulässig; Verstoß gegen Art. 32 DSGVO zumindest möglich); keine "hinreichende Wahrscheinlichkeit" im Rahmen eines Prozesskostenhilfebeschlusses. Schaden verneint (Bekanntwerden der unverschlüsselt übermittelten Daten sei weder dargelegt noch ersichtlich). — LG Köln 07.10.20 LG Köln, Urteil vom 7. Oktober 2020 – 28 O 71/20, ZD 2021, 47 (juris); DSGVO-Schadensersatzansprüche – wie viel sind sie wert? (cmshs-bloggt.de) Unbefugte Datenabflüsse und -weitergaben — 0 Einmalige und erstmalige Übersendung eines wenige Seiten umfassenden Kontoauszugs an einen falschen Empfänger durch kontoführende Bank. DSGVO-Verstoß bejaht, allerdings Bagatellfall angenommen. Dem Gericht zufolge kein Schadensersatz in derartigen Bagatellfällen (andernfalls "Gefahr einer uferlosen Häufung der Geltendmachung von Ansprüchen"). — OLG Frankfurt a.M. 02.03.22 OLG Frankfurt a.M., Urteil vom 2. März 2022 – 13 U 206/20 (juris) Unbefugte Datenabflüsse und -weitergaben BGH, Beschluss vom 26. September 2023 – VI ZR 97/22; LG Darmstadt, Urteil vom 26. Mai 2020 – 13 O 244/19. 0 Irrtümliche Weiterleitung von Bewerberdaten an unbeteiligten Dritten durch eine Bank im Rahmen eines Bewerbungsprozesses (insb. keine unverzügliche Mitteilung an den Bewerber über fehlerhafte Weiterleitung). Dem Gericht zufolge eine Darlegung eines kausal auf der Pflichtverletzung der Beklagten beruhenden Schadens erfolgt. — OLG Frankfurt a.M. 12.02.19 OLG Frankfurt a.M., Urteil vom 12. Februar 2019 – 11 U 114/17 (juris) Unbefugte Datenabflüsse und -weitergaben LG Frankfurt, Urteil vom 7. September 2017 – 2-03 O 65/16, BeckRS 2017, 130654. 0 Weitergabe eines Kfz-Sachverständigengutachtens mit Lichtbildern durch eine Haftpflichtversicherung an ein von dieser beauftragtes Unternehmen zur Kalkulationsüberprüfung. Mangels DSGVO-Verstoßes bestehe kein Schadensersatzanspruch nach Art. 82 DSGVO. — BGH 22.02.22 BGH, Urteil vom 22. Februar 2022 – VI ZR 1175/20, NJW 2022, 1751 (juris) Unbefugte Datenabflüsse und -weitergaben OLG Köln, Urteil vom 30. Juli 2020 – 15 U 313/19, GRUR-RS 2020, 56319. 0 Identifizierender Bericht durch die Presse über einen anstehenden Strafprozess des Klägers. Anwendbarkeit der DSGVO wegen Medienprivilegs nicht eröffnet. — LG Hamburg 04.09.20 LG Hamburg, Urteil vom 4. September 2020 – 324 S 9/19, BeckRS 2020, 23277 (juris) Unbefugte Datenabflüsse und -weitergaben AG Hamburg-Barmbek, Urteil vom 15. November 2019 – 821 C 206/18. 0 Datenverbreitung durch öffentliche Freischaltung eines Terminformulars (mit persönlichen Daten zu Urlaubszeitraum und Tattoovorhaben der betroffenen Person) durch Betreiberin einer Wohnungsanzeigen-Webseite. — DSGVO-Verstoß nicht (ausdrücklich) festgestellt. Jedenfalls kein kausaler Schaden, da keine benennbare, tatsächliche Persönlichkeitsverletzung (keine Bloßstellung feststellbar). — AG Hamburg-Barmbek 18.08.20 AG Hamburg-Barmbek, Urteil vom 18. August 2020 – 816 C 33/20, BeckRS 2020, 53289 Unbefugte Datenabflüsse und -weitergaben — 0 Datenabfluss und Offenlegung im Internet aufgrund eines Datenschutzvorfalls (u.a. von Geburtsdaten, (E-Mail-)Adressen und Teilen der Kreditkartennummer) bei einem Prämienprogramm. — Der Kläger habe keinen Schaden nachgewiesen. — FG Berlin-Brandenburg 09.03.23 FG Berlin-Brandenburg, Urteil vom 9. März 2023 – 16 K 16034/22, BeckRS 2023, 15777 (juris) Unbefugte Datenabflüsse und -weitergaben — 0 Weitergabe der Telefonnummer des angestellten Ehemanns an die Senatsverwaltung für Finanzen durch die klagende Partei und Ehefrau des Nummerninhabers nach einer Außenprüfung. — In der bloßen Möglichkeit des Bekanntwerdens einer Telefonnummer erkenne das Gericht keinen Schaden. — LG Frankfurt a.M. 01.11.21 LG Frankfurt a.M., Urteil vom 1. November 2021 – 2-01 S 191/20, GRUR-RS 2021, 33660 (juris) Unbefugte Datenabflüsse und -weitergaben AG Frankfurt a.M., Urteil vom 16. Oktober 2020 – 30 C 2705/19, GRUR-RS 2020, 52065 (juris). 0 Versendung der Budgetplanung eines Vereins unter Offenlegung persönlicher Daten (u.a. des Verdienstes des Trainers) per E-Mail an Vereinsmitglieder und -fremde. / Kein DSGVO-Verstoß bei Versendung der Budgetplanung an Vereinsmitglieder, wohl aber DSGVO-Verstoß bei Versendung der Budgetplanung an Vereinsfremde. Der Kläger habe keinen Schaden, der ihm aufgrund der Versendung der Budgetplanung an die Vereinsfremden entstanden sein soll, dargelegt. — OLG München 27.10.21 OLG München, Urteil vom 27. Oktober 2021 – 20 U 7051/20, BeckRS 2021, 32242 (juris) Unbefugte Datenabflüsse und -weitergaben LG Landshut, Urteil vom 6. November 2020 – 51 O 513/20, BeckRS 2020, 33148. 0 Unterlassene Schwärzung der Daten eines Wohnungseigentümers in Tagesordnung durch Hausverwaltung (Informationen zu Legionellenbefall). Kein DSGVO-Verstoß durch Tagesordnungspunkt. — BGH 16.02.21 BGH, Beschluss vom 16. Februar 2021 – VI ZA 6/20, GRUR-RS 2021, 3377 (juris) Unbefugte Datenabflüsse und -weitergaben OLG Köln, Urteil vom 26. März 2020 – 15 U 193/19; LG Köln, Urteil vom 3. Juli 2019 – 28 O 191/18; siehe zum Journalismus auch: OLG Köln, Urteil vom 26. November 2020 – 15 U 39/20, GRUR-RS 2020, 38050 (juris). 0 Der Beklagte veröffentlichte zwei Bildberichterstattungen betreffend der Ausschreitungen anlässlich des G-20-Gipfels in Hamburg im Jahr 2017 und die zwischen den Parteien strittige Teilnahme der klagenden Partei an diesen Ausschreitungen. Keine "hinreichende Wahrscheinlichkeit" im Rahmen eines Prozesskostenhilfebeschlusses, da ein Anspruch auf Schadensersatz schon aufgrund der Öffnungsklausel des Art. 85 DSGVO für journalistische Zwecke nicht bestehe. Der BGH scheint in diesem Fall eine Tendenz pro Bagatellgrenze anzunehmen, wenn er zu einer der in Frage stehenden Bildberichterstattungen ausführt, diese stelle "jedenfalls keine schwerwiegende, eine Geldentschädigung rechtfertigende Rechtsverletzung" dar. — AG Köln 23.02.22 AG Köln, Urteil vom 23. Februar 2022 – 127 C 133/21 (juris) Unbefugte Datenabflüsse und -weitergaben — 0 Zweimalige Post-Versendung an falsche Adresse (Adresse der Tochter der klagenden Partei) durch Versicherung. Keine Darlegung eines kausalen Schadens erfolgt. — ArbG Mannheim 25.03.21 ArbG Mannheim, Urteil vom 25. März 2021 – 8 Ca 409/20, BeckRS 2021, 6492 (juris) Unbefugte Datenabflüsse und -weitergaben — 0 Übersendung einer Datei mit Informationen zur Abmeldung sämtlicher Beschäftigter von der Sozialversicherung nach pandemiebedingter Schließung eines Tanzlokals an einen Mitarbeiter per WhatsApp. Dem Gericht zufolge keine schlüssige Darlegung eines DSGVO-Verstoßes, Übermittlung nach § 26 Abs. 1 BDSG gerechtfertigt; keine Darlegung, aus welchen Gründen ein Versand per WhatsApp gegen die DSGVO verstoßen solle. — LG Oldenburg 22.12.20 LG Oldenburg, Urteil vom 22. Dezember 2020 – 5 S 50/20, BeckRS 2020, 41645 (juris) Unbefugte Datenabflüsse und -weitergaben AG Brake, Urteil vom 19. Dezember 2019 – 3 C 153/19 (juris). 0 Bekanntgabe des Namens eines säumigen Schuldners durch den Verwalter einer Bruchteilsgemeinschaft in der Einladung zur Eigentümerversammlung. — LG Berlin 27.01.22 LG Berlin, Urteil vom 27. Januar 2022 – 26 O 177/21 (juris) Unbefugte Datenabflüsse und -weitergaben Anhängig beim KG – 9 U 21/22. 0 Eingabe der Adresse des Klägers ohne namentliche Nennung bei Google Maps durch eine Richterin. — KG 17.02.23 KG, Beschluss vom 17. Februar 2023 – 10 U 146/22, NJ 2023, 172 (juris) Unbefugte Datenabflüsse und -weitergaben LG Berlin, Urteil vom 22. September 2022 – 27 O 300/21. 0 Nennung des Geburtsdatums des Klägers und dessen angebliche Adressen in einem Blog-Beitrag eines Rechtsanwalts sowie Weitergabe weiterer Daten des Klägers an zwei Personen (Vermieter des Klägers) und deren Rechtsanwalt. — OLG Dresden 14.12.21 OLG Dresden, Urteil vom 14. Dezember 2021 – 4 U 1278/21, BeckRS 2021, 42153 (juris) Unbefugte Datenabflüsse und -weitergaben LG Chemnitz, Urteil vom 31. Mai 2021 – 4 O 1100/20, BeckRS 2021, 42154. 0 Ein Inkassounternehmen schrieb nach einem Auskunftsverlangen an das Einwohnermeldeamt mit dem Kläger eine falsche Person mit einer Forderungsgeltendmachung an, da sie den gleichlautenden Namen des tatsächlichen Schuldners trug. Der Kläger verlangte Auskunft über die gespeicherten Daten, Löschung und befürchtete einen falschen Schufa-Eintrag zu seinen Lasten. Verarbeitung ohne Rechtsgrundlage nach Art. 6 DSGVO, unterlassene Löschung nach Art. 17 DSGVO. Keine Darlegung eines kausal auf der Pflichtverletzung der Beklagten beruhenden Schadens erfolgt. — OLG Düsseldorf 16.03.21 OLG Düsseldorf, Beschluss vom 16. März 2021 – 16 U 269/20, BeckRS 2021, 18670 (juris) Unbefugte Datenabflüsse und -weitergaben LG Düsseldorf, Urteil vom 16. Juli 2020 – 11 O 267/19; OLG Düsseldorf, Beschluss vom 16. Februar 2021 – 16 U 269/20. 0 Veröffentlichung des Klarnamens und der Missbrauchserfahrungen im Gutachten der Beklagten in einem familienrechtlichen Verfahren. Verletzung des Allgemeinen Persönlichkeitsrechts führe nicht zur Anwendung des Art. 82 DSGVO. — LG Frankfurt a.M. 28.10.20 LG Frankfurt a.M., Urteil vom 28. Oktober 2020 – 2-01 O 32/20, BeckRS 2020, 61768 (juris) Unbefugte Datenabflüsse und -weitergaben — 0 Offenlegung von im Rahmen eines Bonusprogramms erhobenen Teilnehmerdaten (insb. Kreditkartennummer) infolge eines Datenmissbrauchs. — Der Kläger habe keinen Schaden nachgewiesen. OLG Düsseldorf 11.01.22 OLG Düsseldorf, Beschluss vom 11. Januar 2022 – 16 U 130/21, ZD 2022, 388 (juris) Unbefugte Datenabflüsse und -weitergaben — 0 Berechtigte Weitergabe von für die Bonität relevanten Kreditdaten zur Interessenwahrung der Beklagten und einer Dritten. Der Kläger forderte u.a. Ersatz vorgerichtlicher Rechtsanwaltskosten. LG Karlsruhe 09.02.21 LG Karlsruhe, Urteil vom 9. Februar 2021 – 4 O 67/20, BeckRS 2021, 20347 (juris) Unbefugte Datenabflüsse und -weitergaben — 0 Datendiebstahl (u.a. Name, Geburts- und Kontaktdaten, evtl. Kreditkartennummer) aufgrund eines Datenlecks auf der Online-Kundenplattform eines Kreditkartenanbieters. — Offengelassen, ob Verstoß gegen Art. 5 Abs. 1 DSGVO. Anmerkung CMS: Auch Verstoß gegen Art. 32 DSGVO denkbar. Gericht nimmt bloßen Bagatellschaden an, da keine deutlich spürbare Persönlichkeitsverletzung. — LG Frankfurt a.M. 18.09.20 LG Frankfurt a.M., Urteil vom 18. September 2020 – 2-27 O 100/20, GRUR-RS 2020, 24557 (juris); DSGVO-Schadensersatzansprüche – wie viel sind sie wert? (cmshs-bloggt.de) Unbefugte Datenabflüsse und -weitergaben — 0 Offenlegung von im Rahmen eines Bonusprogramms erhobenen Teilnehmerdaten (insb. Kreditkartennummern) infolge eines Datenvorfalls bei der Betreiberin von Zahlungsdiensten. Kein Verstoß gegen Art. 5 Abs. 1 lit. a) bzw. lit. f) oder Art. 28 Abs. 1 DSGVO feststellbar (keine Umkehr der Beweislast). Anmerkung CMS: Grds. auch Verstoß gegen Art. 32 DSGVO denkbar. Immaterieller Schaden (öffentliche Bloßstellung) sei entstanden, allerdings kein hierfür kausaler Datenschutzverstoß dargelegt. — Vermutung des Art. 82 Abs. 3 DSGVO bezieht sich dem Gericht zufolge nur auf Verantwortlichkeit, nicht auf Verstoß selbst. LG Köln 03.08.21 LG Köln, Urteil vom 3. August 2021 – 5 O 84/21, BeckRS 2021, 28364 (juris) Unbefugte Datenabflüsse und -weitergaben — 0 Übersendung einer nicht anonymisierten Gerichtsentscheidung mit Nennung personenbezogener Daten des Klägers an 62 Verwaltungsmitarbeiter. Später kam es zu Anfeindungen des Klägers als "Corona-Leugner". Die Gerichtsentscheidung hätte anonymisiert werden müssen. Anmerkung CMS: In Frage kommt ein Verstoß gegen Art. 5 Abs. 1 lit. a), Art. 6 DSGVO. Dem Gericht zufolge sei kein entstandener immaterieller Schaden nachgewiesen, für den die Veröffentlichung der Entscheidung kausal war; Beweislastumkehr verneint; Bagatellfall angenommen. LG München I 23.03.23 LG München I, Urteil vom 23. März 2023 – 26 O 1859/22, GRUR-RS 2023, 20935 Unbefugte Datenabflüsse und -weitergaben OLG München, Beschlüsse vom 16. August 2023 und 13. Dezember 2023 – 31 U 1786/23. / 0 Datenleck bei einem Wertpapierinstitut, das sog. Robo Advisor anbietet. Verstoß gegen Art. 32 Abs. 1 DSGVO. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. — / Das Gericht stellte fest, dass der Beklagte verpflichtet sei, dem Betroffenen künftige kausale Schäden zu ersetzen. LG München I 09.03.23 LG München I, Urteil vom 9. März 2023 – 4 O 6009/22, GRUR-RS 2023, 20934 Unbefugte Datenabflüsse und -weitergaben — / 0 Datenleck bei einem Wertpapierinstitut, das sog. Robo Advisor anbietet. / Das Gericht zitiert LG München I, Urteil vom 9. Februar 2023 – 5 O 5853/22: "[...] Der vorliegende Fall zeigt, dass bei einem Datenleck bei großen Unternehmen eine Vielzahl von Personen – hier 33.200 Kunden – betroffen sein kann. Würde jeder dieser Person bereits wegen eines Verstoßes gegen die DSGVO ein Schadensersatz in fünfstelliger Höhe zustehen, ohne dass die Betroffenen konkrete Beeinträchtigungen erlitten haben müssen, würde dies für Unternehmen möglicherweise existenzbedrohende Zahlungsverpflichtungen nach sich ziehen, obwohl die Beeinträchtigungen der Rechte ihrer Kunden als eher gering einzustufen sind [...]" — / Das Gericht stellte fest, dass der Beklagte verpflichtet sei, dem Betroffenen künftige kausale Schäden zu ersetzen. OLG Schleswig 02.07.21 OLG Schleswig, Urteil vom 2. Juli 2021 – 17 U 15/21, BeckRS 2021, 16986 (juris) Unbefugte Datenabflüsse und -weitergaben BGH, Beschluss vom 28. März 2023 – VI ZR 225/21; LG Kiel, Urteil vom 12. Februar 2021 – 2 O 10/21. / 887 Vorzunehmende Löschung einer Eintragung zu einer Restschuldbefreiung im Datenbestand einer Wirtschaftsauskunftei. — / Zugesprochen wurde in diesem Verfahren die Erstattung vorgerichtlicher Rechtsanwaltskosten. LG Karlsruhe 24.01.23 LG Karlsruhe, Urteil vom 24. Januar 2023 – 2 O 446/20, GRUR-RS 2023, 584 (juris) Unbefugte Datenabflüsse und -weitergaben OLG Karlsruhe, Urteil vom 24. August 2023 – 19 U 28/23, GRUR-RS 2023, 24249; zu dem Streitgegenstand EUR 4.000 zusprechend: AG Pforzheim, Urteil vom 25. März 2020 – 13 C 160/19. / 1.295 Weitergabe von Aufzeichnungen zu Gesundheitsdaten (körperlicher und geistiger Zustand, u.a. Einschätzung zu Alkoholmissbrauch und notwendiger psychiatrischer Behandlung) durch den Psychotherapeuten der Ehefrau des Betroffenen an den Rechtsanwalt der Ehefrau im Rahmen eines familienrechtlichen Umgangsverfahrens zwischen den getrennt lebenden Eheleuten. / / Zugesprochen wurde in diesem Verfahren die Erstattung vorgerichtlicher Rechtsanwaltskosten. Das AG Pforzheim (13 C 160/19) hatte bereits Schadensersatz nach Art. 82 DSGVO in Höhe von EUR 4.000 zugesprochen. AG München 03.03.22 AG München, Vorabentscheidungsersuchen vom 3. März 2022 (eingereicht am 10. März 2022) – 132 C 1263/21 und 132 C 737/22, ZD 2022, 568 Unbefugte Datenabflüsse und -weitergaben Anhängig beim EuGH: C-182/22 und C-189/22; in dem Verfahren liegen die Schlussanträge des Generalanwalts vor (zu zwei Verfahren denselben Datenvorfall betreffend: LG Köln, Urteil vom 18. Mai 2022 – 28 O 328/21, und LG München I, Urteil vom 9. Dezember 2021 – 31 O 16606/20). Vorlage an den EuGH. Datenabfluss aufgrund eines Datenlecks (u.a. von Konto- und Ausweisdaten) bei einem Finanzdienstleistungsunternehmen (Scalable Capital). — — — Vorlage an den EuGH. Die ersten Vorlagefragen betreffen u.a. die Rechtsnatur des Art. 82 DSGVO (Sanktionscharakter oder ausschließlich eine Ausgleichs- und ggf. (individuelle) Genugtuungsfunktion?) sowie eine etwaige Erheblichkeitsschwelle. BGH 26.09.23 BGH, Beschluss vom 26. September 2023 – VI ZR 97/22, GRUR-Prax 2023, 760 (juris) Unbefugte Datenabflüsse und -weitergaben OLG Frankfurt a.M., Urteil vom 2. März 2022 – 13 U 206/20; LG Darmstadt, Urteil vom 26. Mai 2020 – 13 O 244/19; anhängig beim EuGH – C-655/23. Vorlage an den EuGH. Irrtümliche Weiterleitung von Bewerberdaten an unbeteiligten Dritten durch eine Bank im Rahmen eines Bewerbungsprozesses und insb. keine unverzügliche Mitteilung an den Bewerber über fehlerhafte Weiterleitung. Der Kläger machte geltend, nicht nur einen abstrakten Kontrollverlust über die Daten erlitten zu haben, sondern dass diese an die dritte, mit ihm bekannte und in derselben Branche tätige Person gelangt seien. — — — Vorlage an den EuGH. Die Vorlage betrifft u.a. die Frage, ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen ist, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle (z.B. Ärger, Unmut, Unzufriedenheit, Sorge, Angst) genügen, obwohl diese Teil des allgemeinen Lebensrisikos und des täglichen Erlebens seien, oder ob ein darüber hinausgehender Nachteil erforderlich ist. Der BGH hat dem EuGH zu Art. 82 DSGVO außerdem die Fragen vorgelegt, ob der Grad des Verschuldens des Verantwortlichen (oder Auftragsverarbeiters bzw. dessen Mitarbeiter) ein relevantes Kriterium bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens darstellt, und ob es anspruchsmindernd berücksichtigt werden könne, wenn dem Betroffenen zudem ein Unterlassungsanspruch zusteht. BAG 22.09.22 BAG, Aussetzungs- und Vorlagebeschluss vom 22. September 2022 – 8 AZR 209/21 (A), BeckRS 2022, 35499 (juris) Unbefugte Datenabflüsse und -weitergaben Anhängig beim EuGH – C-65/23; zum Verfahrensgang: LAG Stuttgart, Urteil vom 25. Februar 2021 – 17 Sa 37/20; ArbG Ulm, Urteil vom 14. November 2019 – 5 Ca 18/18. Vorlage an den EuGH. Verarbeitung von Kategorien personenbezogener Daten zu Testzwecken (Workday), die nicht von einer Betriebsvereinbarung erfasst wurden, sowie Übermittlung von Daten an Konzernmutter in Drittland (USA) u.a. aufgrund von Standardvertragsklauseln. — — — Vorlage an den EuGH. Die Vorlage betrifft u.a. die Frage, ob für einen Anspruch nach Art. 82 DSGVO ein Verstoß gegen die DSGVO ausreicht oder ob darüber hinaus weitere Beeinträchtigungen von gewissem Gewicht des Betroffenen erforderlich sind. Das BAG hat dem EuGH zudem die Frage zum spezial- oder generalpräventiven Charakter des Art. 82 Abs. 1 DSGVO vorgelegt. AG Wesel 05.08.22 AG Wesel, Vorabentscheidungsersuchen vom 5. August 2022 (eingereicht am 9. September 2022) – 30 C 138/21 (juris) Unbefugte Datenabflüsse und -weitergaben Anhängig beim EuGH – C-590/22. Vorlage an den EuGH. Versehentliche Versendung von Steuerunterlagen durch die beklagte Steuerberaterkanzlei an die alte Adresse der klagenden Mandanten trotz vorheriger Mitteilung der neuen Adresse, wobei der Brief durch die nachfolgenden Bewohner des Hauses geöffnet wurde. Die Betroffenen forderten Schadensersatz in Höhe von EUR 15.000. — — — Vorlage an den EuGH. Die Vorlage betrifft u.a. die Fragen, ob für einen Anspruch nach Art. 82 DSGVO ein Verstoß gegen die DSGVO ausreicht oder ob darüber hinaus weitere Beeinträchtigungen von gewissem Gewicht des Betroffenen erforderlich sind. Weitere Vorlagefragen bitten um Klarstellung, ob man sich bei der Bemessung der Höhe des Schadensersatzes an den Kriterien des Art. 83 DSGVO für Bußgelder orientieren kann und ob sich die Höhe des Schadensersatzes auch danach bemisst, dass eine abschreckende Wirkung und/oder die Unterbindung eines kalkulierten Inkaufnehmens von Geldbußen sowie Schadensersatzansprüchen erreicht werden kann. LG Ravensburg 30.06.22 LG Ravensburg, Vorlagebeschluss vom 30. Juni 2022 – 1 S 27/22, BeckRS 2022, 17016 (juris) Unbefugte Datenabflüsse und -weitergaben EuGH, Urteil vom 14. Dezember 2023 – C-456/22. Vorlage an den EuGH. Veröffentlichung einer Tagesordnung einer Gemeinderatssitzung mit namentlicher Nennung des Klägers und eines nicht anonymisierten Gerichtsurteils, in dem der Vor- und Nachname des Klägers sowie dessen Anschrift ohne seine Einwilligung auf der Webseite der Beklagten für vier Tage einsehbar waren. — — — Vorlage an den EuGH. Die Vorlagefrage betrifft den Begriff des immateriellen Schadens gemäß Art. 82 Abs. 1 DSGVO. Das Gericht legte dem EuGH die Frage vor, ob "die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Internet für einen Zeitraum von wenigen Tagen, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?" AG Hagen 16.11.21 AG Hagen, Vorlagefragen vom 16. November 2021, BeckEuRS 2021, 748896 Unbefugte Datenabflüsse und -weitergaben EuGH, Urteil vom 25. Januar 2024 – C-687/21. Vorlage an den EuGH. Irrtümliche und versehentliche Weitergabe von personenbezogenen Daten eines Betroffenen (u.a. Beruf, Einkommen und Arbeitgeber) durch Mitarbeiter des Beklagten in ausgedruckter Form an einen anderen Kunden, der die Informationen nicht wahrnahm. — — — Vorlage an den EuGH. U.a. zu diesen Fragen: "Ist es für einen Schadensersatzanspruch erforderlich, dass außer dem unberechtigten Bekanntgeben der zu schützenden Daten an einen unberechtigten Dritten ein vom Anspruchssteller darzulegender immaterieller Schaden festzustellen ist? […] [G]enügt für einen immateriellen Schaden im Sinne des Art. 82 der Datenschutz-Grundverordnung das Unbehagen desjenigen, dessen persönliche Daten illegal weitergegeben wurden, weil bei jeder unberechtigten Offenlegung von persönlichen Daten die nicht ausschließbare Möglichkeit besteht, dass die Daten doch gegenüber einer unbekannten Vielzahl von Personen weiterverbreitet oder gar missbraucht werden könnten?" LG Stuttgart 11.10.23 LG Stuttgart, Urteil vom 11. Oktober 2023 – 18 O 17/23, GRUR-RS 2023, 33232 Unbefugte Datenabflüsse und -weitergaben LG Stuttgart, Versäumnisurteil vom 3. Mai 2023 – 18 O 17/23. 0 IT-Vorfall und Datenabfluss. — Das "diffuse Gefühl eines Kontrollverlusts" reiche dem Gericht zufolge für einen immateriellen Schaden nicht aus. Zu einem Identitätsdiebstahl sei es nicht gekommen. Die klagende Partei habe der Beklagten ihr Vertrauen ausgesprochen, indem sie weiterhin Kundin sei. — Aufrechterhaltung eines Versäumnisurteils. OLG Karlsruhe 07.11.23 OLG Karlsruhe, Urteil vom 7. November 2023 – 19 U 23/23, GRUR-RS 2023, 35347 (juris) Unbefugte Datenabflüsse und -weitergaben LG Mannheim, Urteil vom 30. Januar 2023 – 9 O 344/21. 0 IT-Vorfall und Datenabfluss auf eCommerce-Plattform für Krypto Hardware-Wallets. Kein Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO, da kein erlittener Schaden nachgewiesen worden sei, wobei der bloße Hinweis auf Beunruhigung nicht ausreiche. Dass der Kläger weder seine E-Mail-Adresse noch Telefonnummer geändert habe, spreche gegen einen realen und sicheren emotionalen Schaden. — EuGH 14.12.23 EuGH, Urteil vom 14. Dezember 2023 – C-340/21, BeckRS 2023, 35786 (juris) Unbefugte Datenabflüsse und -weitergaben Vorlagefragen eines bulgarischen Gerichts. Beantwortung der Vorlagefragen. IT-Vorfall und Datenabfluss ohne Missbrauch der Daten durch Dritte. — — Befürchtung des Missbrauchs personenbezogener Daten in Folge eines Cyberangriffs kann ersatzfähiger immaterieller Schaden sein, aber der Nachweis des Schadens obliegt der betroffenen Person. — Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO nur in engen Grenzen möglich; der Betroffene müsse den Nachweis erbringen, dass es an einem Kausalzusammenhang zwischen der Verletzung seiner datenschutzrechtlichen Pflichten und dem Schaden der betroffenen Person fehle, er also in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, die Verantwortung trägt. Beantwortung der Vorlagefragen. EuGH 14.12.23 EuGH, Urteil vom 14. Dezember 2023 – C-456/22, GRUR-RS 2023, 35767 (juris) Unbefugte Datenabflüsse und -weitergaben LG Ravensburg, Vorlagebeschluss vom 30. Juni 2022 – 1 S 27/22. Beantwortung der Vorlagefragen. Veröffentlichung einer Tagesordnung einer Gemeinderatssitzung mit namentlicher Nennung des Klägers und eines nicht anonymisierten Gerichtsurteils, in dem der Vor- und Nachname des Klägers sowie dessen Anschrift ohne seine Einwilligung auf der Webseite der Beklagten für vier Tage einsehbar waren. — — Der Anspruch auf Ersatz immaterieller Schäden nach Art. 82 DSGVO setzt dem EuGH zufolge keinen spürbaren Nachteil voraus, aber der Betroffene habe das Vorliegen nachteiliger Folgen des DSGVO-Verstoßes, die zu einem immateriellen Schaden führen, nachzuweisen; Schadensersatzanspruch ist nicht abhängig von einer Bagatellgrenze oder Erheblichkeitsschwelle. — Beantwortung der Vorlagefragen. LG Freiburg 20.09.23 LG Freiburg, Urteil vom 20. September 2023 – 8 O 63/23, GRUR-RS 2023, 37312 (juris) Unbefugte Datenabflüsse und -weitergaben — 0 Einladung von Anlegern einer insolventen Unternehmensgruppe zu einer Telefonkonferenz. — KG 22.11.23 KG, Urteil vom 22. November 2023 – 28 U 5/23, GRUR-RS 2023, 36674 Unbefugte Datenabflüsse und -weitergaben LG Berlin, Urteil vom 24. März 2023 – 38 O 221/22. 0 Veröffentlichung eines Leak-Datensatzes. — Kein Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO, da kein erlittener Schaden nachgewiesen worden sei. — OLG München 16.08.23 OLG München, Beschluss vom 16. August 2023 – 31 U 1786/23, BeckRS 2023, 35725; OLG München, Beschluss vom 13. Dezember 2023 – 31 U 1786/23, BeckRS 2023, 35719 Unbefugte Datenabflüsse und -weitergaben LG München I, Urteil vom 23. März 2023 – 26 O 1859/22. 0 Datenleck bei einem Wertpapierinstitut, das sog. Robo Advisor anbietet. — — OLG Karlsruhe 24.08.23 OLG Karlsruhe, Urteil vom 24. August 2023 – 19 U 28/23, GRUR-RS 2023, 24249 (juris) Unbefugte Datenabflüsse und -weitergaben LG Karlsruhe, Urteil vom 24. Januar 2023 – 2 O 446/20. 1.054 Weitergabe von Aufzeichnungen zu Gesundheitsdaten (körperlicher und geistiger Zustand, u.a. Einschätzung zu Alkoholmissbrauch und notwendiger psychiatrischer Behandlung) durch den Psychotherapeuten der Ehefrau des Betroffenen an den Rechtsanwalt der Ehefrau im Rahmen eines familienrechtlichen Umgangsverfahrens zwischen den getrennt lebenden Eheleuten. Es ging noch um Erstattung vorgerichtlicher Rechtsanwaltskosten nach Art. 82 DSGVO. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige Schäden zu ersetzen. ArbG Suhl 20.12.23 ArbG Suhl, Urteil vom 20. Dezember 2023 – 6 Ca 54/23 Unbefugte Datenabflüsse und -weitergaben — 0 Offenlegung der Nationalität des Betroffenen gegenüber dem Betriebsrat. — Kein Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO, da kein erlittener Schaden nachgewiesen worden sei. — EuGH 25.01.24 EuGH, Urteil vom 25. Januar 2024 – C-687/21, GRUR-RS 2024, 530 Unbefugte Datenabflüsse und -weitergaben AG Hagen, Vorlagefragen vom 16. November 2021. Beantwortung der Vorlagefragen. Vorlagefragen: "Ist es für einen Schadensersatzanspruch erforderlich, dass außer dem unberechtigten Bekanntgeben der zu schützenden Daten an einen unberechtigten Dritten ein vom Anspruchssteller darzulegender immaterieller Schaden festzustellen ist? […] [G]enügt für einen immateriellen Schaden im Sinne des Art. 82 der Datenschutz-Grundverordnung das Unbehagen desjenigen, dessen persönliche Daten illegal weitergegeben wurden, weil bei jeder unberechtigten Offenlegung von persönlichen Daten die nicht ausschließbare Möglichkeit besteht, dass die Daten doch gegenüber einer unbekannten Vielzahl von Personen weiterverbreitet oder gar missbraucht werden könnten?" Art. 82 DSGVO verlange nicht, dass die Schwere des vom Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens berücksichtigt wird. Der Betroffene habe das Vorliegen eines materiellen oder immateriellen Schadens nachzuweisen. Sofern die Weitergabe eines Dokuments mit personenbezogenen Daten an einen unbefugten Dritten erfolgte, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, liege dem EuGH zufolge nicht schon deshalb ein immaterieller Schaden vor, weil der Betroffene befürchte, dass in der Zukunft eine Weiterverbreitung oder Missbrauch der Daten stattfinden könnte. — Beantwortung der Vorlagefragen. LAG Schleswig-Holstein 01.06.22 LAG Schleswig-Holstein, Beschluss vom 31. Mai 2022 – 6 Ta 49/22 Unbefugte Datenverarbeitung Zum Verfahrensgang zur Prozesskostenhilfe: ArbG Kiel, Beschluss vom 28. April 2022 – 2 Ca 82 e/22. — 2.000 Sofortige Beschwerde gegen Beschluss für Prozesskostenhilfe der Antragstellerin, die in einem Hauptsacheverfahren Ersatz eines immateriellen Schadens nach Art. 82 DSGVO in Höhe von EUR 6.000 geltend machen möchte. In der Hauptsache geht es um die Anfertigung und Veröffentlichung von Werbevideo-Aufnahmen einer Arbeitnehmerin durch ihren ehemaligen Arbeitgeber ohne eine den formellen Anforderungen entsprechende Einwilligung. — — — — Höchstsumme für Gewährung Prozesshilfe. LAG Baden-Württemberg 27.01.23 LAG Baden-Württemberg, Urteil vom 27. Januar 2023 – 12 Sa 56/21, BeckRS 2023, 11981 (juris) Unbefugte Datenverarbeitung ArbG Mannheim, Urteil vom 20. Mai 2021 – 14 Ca 135/20. 3.000 Nicht erforderliche und unverhältnismäßige Auswertung von Nachrichten bei einem Messengerdienst eines zur privaten und dienstlichen Nutzung überlassenen Diensthandys des Arbeitnehmers durch den Arbeitgeber. Das Gericht nahm einen Verstoß gegen § 26 BDSG (i.V.m. Art. 6 DSGVO) an. Das Gericht verneint ein ungutes Gefühl eines möglichen Kontrollverlusts als ersatzfähigen Schaden. Eine etwaige Schwelle sei in dem vorliegenden Fall aber überschritten. Die Höhe des Arbeitsentgelts sei für die Höhe des DSGVO-Schadensersatzes kein Kriterium. Das ArbG als vorherige Instanz hatte in Orientierung an der Lohnhöhe einen Beitrag von EUR 7.500 zugesprochen. ArbG Münster 25.03.21 ArbG Münster, Urteil vom 25. März 2021 – 3 Ca 391/20, BeckRS 2021, 13039 (juris) Unbefugte Datenverarbeitung — 5.000 Verwendung von Marketingfotos einer Arbeitnehmerin in einem auf die Hautfarbe der betroffenen Person abstellenden Zusammenhang ohne schriftliche Einwilligung. Keine Einholung einer schriftlichen Einwilligung, die nach § 26 Abs. 2 S. 3 BDSG erforderlich sei. Anmerkung CMS: Fehlt eine notwendige Einwilligung, liegt ein Verstoß gegen Art. 6 Abs. 1 S. 1 lit. a), Art. 7 DSGVO vor. Gericht bejaht einen Anspruch aus Art. 82 DSGVO, § 823 BGB i.V.m. § 22 KUG oder aus § 15 AGG. — LAG Hessen 18.10.21 LAG Hessen, Urteil vom 18. Oktober 2021 – 16 Sa 380/20, BeckRS 2021, 42405 (juris) Unbefugte Datenverarbeitung ArbG Frankfurt a.M., Urteil vom 23. Januar 2020 – 12 Ca 4391/19. 1.500 Unberechtigte sechsmalige Observation des Klägers im Arbeitsverhältnis einschließlich der Erhebung personenbezogener Daten. Anmerkung CMS: Verarbeitung ohne Rechtsgrundlage nach der DSGVO. EUR 250 je unberechtigte Observation. — ArbG Mannheim 20.05.21 ArbG Mannheim, Urteil vom 20. Mai 2021 – 14 Ca 135/20, ZD 2022, 397, NZA-RR 2022, 672 (juris) Unbefugte Datenverarbeitung LAG Baden-Württemberg, Urteil vom 27. Januar 2023 – 12 Sa 56/21. 7.500 Nicht erforderliche und unverhältnismäßige Auswertung von Nachrichten bei einem Messengerdienst eines zur privaten und dienstlichen Nutzung überlassenen Diensthandys des Arbeitnehmers durch den Arbeitgeber. Das Gericht nahm einen Verstoß gegen § 26 BDSG i.V.m. Art. 6 DSGVO an. Das Gericht bejaht ein ungutes Gefühl eines möglichen Kontrollverlusts als ersatzfähigen Schaden. LG Hannover 14.02.22 LG Hannover, Urteil vom 14. Februar 2022 – 13 O 129/21, DSB 2022, 75 (juris) Unbefugte Datenverarbeitung OLG Celle, Urteil vom 3. November 2022 – 5 U 31/22. 5.000 Unbefugter negativer Schufa-Eintrag sowie Aufrechterhaltung des Eintrags nach Meldung und Verurteilung für einen weiteren Monat. LG Berlin 15.07.22 LG Berlin, Urteil vom 15. Juli 2022 – 63 O 213/20, BeckRS 2022, 25834 Unbefugte Datenverarbeitung — 500 Aufrechterhaltung eines Versäumnisurteils, das dem Kläger gegen den Beklagten Schadensersatz wegen rechtswidriger Videoüberwachung zusprach. LG Darmstadt 13.07.22 LG Darmstadt, Anerkenntnisurteil vom 13. Juli 2022 – 7 O 53/21 (juris) Unbefugte Datenverarbeitung — 7.500 Veröffentlichung fehlerhafter Informationen durch Auskunftei. Verstoß gegen Art. 5, Art. 6 i.V.m. Art. 4 Nr. 2 DSGVO. OLG Hamm 19.12.22 OLG Hamm, Beschluss vom 19. Dezember 2022 – 11 W 69/22, BeckRS 2022, 42035 (juris) Unbefugte Datenverarbeitung LG Münster, Beschluss vom 29. September 2022 – 17 O 364/22 (juris). 0 Unzulässiges Speichern personenbezogener Daten durch öffentlichen Träger der Arbeitsverwaltung, sofortige Beschwerde gegen den Prozesskostenhilfe versagenden Beschluss der Vorinstanz. Das Gericht bejaht einen Verstoß gegen Art. 17 Abs. 1 lit. a) DSGVO. Das Gericht betont, aus dem vorgetragenen Sachverhalt ergebe sich kein Gesichtspunkt, der einen Schadensersatz von über EUR 50 rechtfertigen könne. — Das LG hatte als vorherige Instanz die Prozesskostenhilfe versagt. OLG Brandenburg 26.05.23 OLG Brandenburg, Urteil vom 26. Mai 2023 – 7 U 166/22, GRUR-RS 2023, 11534 (juris) Unbefugte Datenverarbeitung LG Frankfurt (Oder), Urteil vom 26. August 2022 – 11 O 4/22. 0 Aufnahme unrichtiger Daten durch Wirtschaftsauskunftei, die nach Hinweis durch den Betroffenen gelöscht wurden. Die Auskunftei sei nicht für die Verarbeitung der unrichtigen Daten verantwortlich i.S.d. Art. 82 Abs. 3 DSGVO. OLG Stuttgart 18.05.21 OLG Stuttgart, Urteil vom 18. Mai 2021 – 12 U 296/20, BeckRS 2021, 26918 (juris) Unbefugte Datenverarbeitung LG Stuttgart, Urteil vom 19. August 2020 – 21 O 82/19. 0 Unberechtigte Videoüberwachung in öffentlich zugänglichen Verkaufsräumen. — Die zu prüfenden Verstöße fanden zu einem Zeitpunkt vor Geltung der DSGVO und des BDSG n.F. statt. Dem Kläger sei kein Schaden entstanden. Anmerkung CMS: Geprüft wurde hier statt Art. 82 DSGVO ein Schadensersatzanspruch nach § 83 BDSG. Das Gericht verkennt aber, dass Teil 3 des BDSG der Umsetzung von Art. 2 der Richtlinie 2016/680 dient. — OLG Celle 03.11.22 OLG Celle, Urteil vom 3. November 2022 – 5 U 31/22, BeckRS 2022, 30961 (juris) Unbefugte Datenverarbeitung LG Hannover, Urteil vom 14. Februar 2022 – 13 O 129/21. 0 Verspätete Löschung personenbezogener Daten nach Erlass eines Anerkenntnisurteils. — Das Gericht verneint einen materiellen oder immateriellen Schaden. — LG Hamburg 03.09.21 LG Hamburg, Urteil vom 3. September 2021 – 324 O 86/20, GRUR-Prax 2022, 550 (juris) Unbefugte Datenverarbeitung Anhängig beim OLG Hamburg – 7 U 60/21. 0 Aufnahme und Darstellung in öffentlichen Registern verfügbarer Daten des Klägers durch privaten Informationsdienst. Der Kläger habe keinen konkreten Schaden nachgewiesen. Der DSGVO-Verstoß allein sei dem Gericht zufolge nicht ausreichend, um einen Schadensersatzanspruch gemäß Art. 82 DSGVO zu begründen. — OLG Brandenburg 11.08.21 OLG Brandenburg, Beschluss vom 11. August 2021 – 1 U 69/20, BeckRS 2021, 24733 (juris) Unbefugte Datenverarbeitung LG Potsdam, Urteil vom 3. September 2020 – 1 O 241/18; OLG Brandenburg, Beschluss vom 21. Juni 2021 – 1 U 69/20. 0 Verwendung von Fotos und des Namens des Betroffenen auf Internetpräsenz der Anspruchsgegnerin ohne Einwilligung. — Keine Darlegung eines entstandenen Schadens, sondern lediglich substanzloser Vortrag zu Beeinträchtigungen; keine Beweislastumkehr gemäß Art. 82 Abs. 3 DSGVO i.V.m. EG Nr. 146 S. 2 DSGVO. — OLG Celle 22.09.22 OLG Celle, Urteil vom 22. September 2022 – 11 U 107/21, BeckRS 2022, 40938 (juris) Unbefugte Datenverarbeitung LG Hannover, Urteil vom 30. November 2020 – 13 O 210/20; anhängig beim BGH – VI ZR 365/22; Wiedereinsetzungen: BGH, Beschluss vom 9. Januar 2024 – VI ZR 365/22; BGH, Beschluss vom 6. Februar 2024 – VI ZR 365/22. 0 Unberechtigte Bearbeitung von Personalakten durch Landesbedienstete. Dem Gericht zufolge jedenfalls fehlende Darlegung der Wahrscheinlichkeit des Eintritts eines Schadens. — AG Berlin-Pankow 28.03.22 AG Berlin-Pankow, Urteil vom 28. März 2022 – 4 C 199/21, BeckRS 2022, 7590 (juris) Unbefugte Datenverarbeitung LG Berlin – 66 S 107/22 (erledigt). 0 Der Kläger fuhr in einer videoüberwachten Bahn eines Personenbeförderungsunternehmens und verlangte von diesem Herausgabe der Videoinformationen sowie Unterlassung der Löschung. Das Unternehmen erfüllte das Verlangen nicht, sondern löschte das Material 48 Stunden nach der Aufnahme. Unterlassene Löschung trotz Aufforderung und Nicht-Erteilen der geforderten Auskunft begründen dem Gericht zufolge keinen spürbaren ersatzfähigen Schaden. — LAG Düsseldorf 11.03.20 LAG Düsseldorf, Urteil vom 11. März 2020 – 12 Sa 186/19 (juris) Unbefugte Datenverarbeitung Anhängig beim BAG – 8 AZR 253/20 (BAG, Vorabentscheidungsersuchen vom 26. August 2021 – 8 AZR 253/20 (A)); zum Verfahrensgang: ArbG Düsseldorf, Urteil vom 22. Februar 2019 – 4 Ca 6116/18, BeckRS 2019, 43176. 0 Verarbeitung personenbezogener (Gesundheits-)Daten für die Erstellung eines Gutachtens zur Arbeitsunfähigkeit. DSGVO-Verstoß aufgrund gesetzlicher Pflicht des Verantwortlichen aus dem SGB V abgelehnt. — LG Bielefeld 07.07.23 LG Bielefeld, Urteil vom 7. Juli 2023 – 4 O 275/22, BeckRS 2023, 24198 (juris) Unbefugte Datenverarbeitung Anhängig beim OLG Hamm – I-26 U 142/23. 0 Anfertigung einer Kopie des Personalausweises eines Patienten durch Kinderwunschpraxis sowie Aufnahme dieser Kopie in die Patientenakte. — Der Kläger habe dem Gericht zufolge keinen immateriellen Schaden durch die Anfertigung der Kopie des Personalausweises erlitten; geltend gemachte Ängste, Sorgen und Unwohlsein ergeben sich dem LG zufolge v.a. aus anderen Vorgängen innerhalb der Praxis, wobei die datenschutzrechtlichen Aspekte demgegenüber keine spürbare Beeinträchtigung darstellten. — OLG Karlsruhe 30.11.22 OLG Karlsruhe, Urteil vom 30. November 2022 – 7 U 75/22, GRUR-RS 2022, 35131 (juris) Unbefugte Datenverarbeitung — 0 Eintragung über eine Restschuldbefreiung bei einer Wirtschaftsauskunftei sowie unterlassene Entfernung nach Aufforderung. Dem Gericht zufolge habe der Kläger keinen Anspruch auf Löschung oder Berichtigung. — AG Hannover 09.03.20 AG Hannover, Urteil vom 9. März 2020 – 531 C 10952/19, BeckRS 2019, 43221 (juris) Unbefugte Datenverarbeitung — 0 Speicherung von Kundendaten (u.a. Name, Adresse, Geburtsdatum und Handynummer) durch Reisebüro infolge der Übermittlung der Daten durch Onlinebuchungsportal infolge eines Buchungsvorgangs. DSGVO-Verstoß kann in Übermittlung der Daten an das Reisebüro liegen. Anmerkung CMS: Dies stellt einen Verstoß gegen Art. 5 Abs. 1 lit. a), Art. 6 DSGVO dar. Bagatellverstoß dem Gericht zufolge nicht ausreichend und fehlende Kausalität zwischen Verstoß und Schaden (Daten waren bereits bekannt). — EuGH 04.05.23 EuGH, Urteil vom 4. Mai 2023 – C-300/21, GRUR-RS 2023, 8972 (juris) Unbefugte Datenverarbeitung Oberster Gerichtshof der Republik Österreich (OGH), Beschluss vom 15. April 2021 – 6 Ob 35/21x und Schlussanträge des Generalanwalts zum Schadensersatz gem. Art. 82 DSGVO. Beantwortung der Vorlagefragen. Speicherung von personenbezogenen Daten zur Parteiaffinität durch ein Adresshandelsunternehmen, wobei dem Betroffenen die Nähe zu einer Partei im rechten politischen Spektrum zugeordnet wurde; eine Weitergabe der Daten an Dritte erfolgte nicht. — Bloßer Verstoß gegen die DSGVO begründet keinen Schadensersatzanspruch. — Schadensersatzanspruch ist nicht abhängig von einer Erheblichkeitsschwelle. Das nationale Gericht muss das Vorliegen eines Schadens feststellen. — Beantwortung der Vorlagefragen. BAG 26.08.21 BAG, Vorabentscheidungsersuchen vom 26. August 2021 – 8 AZR 253/20 (A), BeckRS 2021, 29622 (juris) Unbefugte Datenverarbeitung EuGH, Urteil vom 21. Dezember 2023 – C-667/21; ArbG Düsseldorf, Urteil vom 22. Februar 2019 – 4 Ca 6116/18, BeckRS 2019, 43176; LAG Düsseldorf, Urteil vom 11. März 2020 – 12 Sa 186/19. Vorlage an den EuGH. Verarbeitung personenbezogener (Gesundheits-)Daten für die Erstellung eines Gutachtens zur Arbeitsunfähigkeit. — — — Vorlage an den EuGH. Das BAG hat dem EuGH u.a. Fragen zum spezial- oder generalpräventiven Charakter des Art. 82 Abs. 1 DSGVO sowie zur Berechnung der Schadensersatzhöhe und hierbei zu beachtenden Kriterien (Grad des Verschuldens des Verantwortlichen bzw. des Auftragsverarbeiters) zur Vorabentscheidung vorgelegt. LG Saarbrücken 22.11.21 LG Saarbrücken, Beschluss vom 22. November 2021 – 5 O 151/19, GRUR-RS 2021, 39544 (juris) Unbefugte Datenverarbeitung EuGH, Urteil vom 11. April 2024 – C‑741/21. Vorlage an den EuGH. Übersendung von drei Werbeschreiben nach Widerruf der Einwilligung. Nach dem Eingeben eines sich auf der Werbung befindlichen Codes im Online-Shop der Beklagten erschien eine Bestellmaske mit voreingetragenen personenbezogenen Daten des Klägers. Der Kläger verlangt Ersatz eines materiellen Schadens wegen entstandener Gerichtsvollzieher- und Notarkosten sowie eines immateriellen Schadens. — — — Vorlage an den EuGH. Die erste Vorlagefrage betrifft den Begriff des immateriellen Schadens i.S.d. Art. 82 DSGVO und eine mögliche Erheblichkeitsschwelle; die zweite Vorlagefrage betrifft den Haftungsausschluss nach Art. 82 Abs. 3 DSGVO; die dritte Vorlagefrage, ob man sich bei der Bemessung der Höhe des Schadensersatzes an den Kriterien des Art. 83 DSGVO für Bußgelder orientieren kann; die vierte Vorlagefrage betrifft die Berechnung des Schadensersatzes beim Vorliegen mehrerer Einzelfälle. Oberster Gerichtshof der Republik Österreich (OGH) 15.04.21 Oberster Gerichtshof der Republik Österreich (OGH), Beschluss vom 15. April 2021 – 6 Ob 35/21x, BeckRS 2021, 11950 Unbefugte Datenverarbeitung EuGH, Urteil vom 4. Mai 2023 – C-300/21. Vorlage an den EuGH. Speicherung von personenbezogenen Daten zur Parteiaffinität durch ein Adresshandelsunternehmen, wobei dem Betroffenen die Nähe zu einer Partei im rechten politischen Spektrum zugeordnet wurde; eine Weitergabe der Daten an Dritte erfolgte nicht. — Kein Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO, da kein Schaden "erlitten" worden sei, wobei der bloße Hinweis auf den "Kontrollverlust" über die Daten nicht ausreiche; die Anwendbarkeit einer Bagatellgrenze verneint der OGH. — Vorlage an den EuGH. Erste Vorlagefrage, ob neben einer Verletzung von Bestimmungen der DSGVO für einen Anspruch aus Art. 82 DSGVO ebenfalls erforderlich ist, dass der Kläger einen Schaden erlitten hat, oder ob die Verletzung von Bestimmungen der DSGVO als solche bereits ausreicht; zweite Vorlagefrage, ob neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts für die Bemessung des Schadensersatzes bestehen; dritte Vorlagefrage betrifft die Annahme einer Bagatellgrenze (vorgelegt am 15. Mai 2021). EuGH 21.12.23 EuGH, Urteil vom 21. Dezember 2023 – C-667/21, BeckRS 2023, 36822 (juris) Unbefugte Datenverarbeitung BAG, Vorabentscheidungsersuchen vom 26. August 2021 – 8 AZR 253/20 (A); LAG Düsseldorf, Urteil vom 11. März 2020 – 12 Sa 186/19; ArbG Düsseldorf, Urteil vom 22. Februar 2019 – 4 Ca 6116/18. Beantwortung der Vorlagefragen. Verarbeitung personenbezogener (Gesundheits-)Daten für die Erstellung eines Gutachtens zur Arbeitsunfähigkeit. — — Art. 82 DSGVO solle eine Entschädigung in Geld ermöglichen, um den aufgrund eines DSGVO-Verstoßes konkret erlittenen Schaden zu ersetzen; es bestehe keine Abschreckungs- oder Straffunktion. Zur Bemessung der Höhe einer Entschädigung verlange Art. 82 DSGVO nicht, dass der Grad des Verschuldens dabei berücksichtigt werde. — Das Verschulden des Verantwortlichen werde dem EuGH zufolge vermutet, sofern dieser nicht nachweist, dass ihm die schadensverursachende Handlung nicht zuzurechnen ist. Beantwortung der Vorlagefragen. LG Heidelberg 16.03.22 LG Heidelberg, Urteil vom 16. März 2022 – 4 S 1/21, BeckRS 2022, 5913 (juris) (Unbefugte) Werbung AG Heidelberg, Urteil vom 7. Januar 2021 – 24 C 119/19. 25 Übersendung von Werbe-E-Mails ohne Einwilligung. Verstoß gegen Art. 6 DSGVO. Das Gericht orientiert sich für die Höhe des Anspruchs an der Auslagenpauschale für Umstände und Aufwendungen bei Verkehrsunfällen. — AG Essen 02.05.23 AG Essen, Urteil vom 2. Mai 2023 – 130 C 135/21, BeckRS 2023, 9399 (juris) (Unbefugte) Werbung — 600 In Folge der versehentlichen Versendung einer Excel-Datei mit personenbezogenen Daten (u.a. Name, Anschrift, Geburtsdatum, vorgesehener Impfstoff, Anzahl der Impfungen, teilweise E-Mail-Adresse, Telefonnummer) von ca. 13.000 Personen, die einen Termin für eine Corona-Impfung in einem Impfzentrum gebucht hatten, an 1.200 Empfänger per E-Mail, erhielt der Kläger ohne dessen Einwilligung E-Mails von der Beklagten mit werbendem Inhalt und u.a. Hinweisen, er solle wegen des Datenvorfalls seine Passwörter ändern. Daraufhin verspürte der Kläger einen Kontrollverlust, Angst und Schrecken hinsichtlich seiner Daten. Verstoß gegen Art. 6 Abs. 1 DSGVO. Das Gericht berücksichtigte bei der Bemessung der Höhe des Schadensersatzes, dass der Betroffene bereits eine Entschädigung von der für den in dem Impfzentrum geschehenen Datenvorfall an sich Verantwortlichen erhalten hatte. AG Pfaffenhofen/Ilm 09.09.21 AG Pfaffenhofen/Ilm, Urteil vom 9. September 2021 – 2 C 133/21, BeckRS 2021, 27106 (Unbefugte) Werbung — 300 Übersendung einer Werbe-E-Mail ohne Einwilligung. Verstoß gegen Art. 6 Abs. 1 S. 1 und Art. 14 lit. f) DSGVO. Ein Schaden i.S.d. Art. 82 DSGVO könne bereits in einem durch die unrechtmäßige Datenverarbeitung ausgelösten "unguten Gefühl" liegen; Verweis auf den "Kontrollverlust" als Regelbeispiel nach EG Nr. 75 DSGVO; Beachtung mehrerer anderer DSGVO-Verstöße des Beklagten sowie der Tatsache, dass nur Sphäre des Klägers betroffen war. AG Diez 07.11.18 AG Diez, Urteil vom 7. November 2018 – 8 C 130/18, BeckRS 2018, 28667 (juris); Kein Schadensersatzanspruch für Bagatellverstoß gegen DSGVO (cmshs-bloggt.de) (Unbefugte) Werbung — 0 Einmalige E-Mail-Werbung (Betrag in Höhe von EUR 50 bereits durch Verantwortliche anerkannt). — Verstoß gegen Art. 6 DSGVO nicht ausdrücklich festgestellt. Bagatellverstoß dem Gericht zufolge nicht ausreichend (spürbarer Nachteil bzw. einigermaßen gewichtige Beeinträchtigung des Persönlichkeitsrechts erforderlich). — AG Hamburg-Bergedorf 07.12.20 AG Hamburg-Bergedorf, Urteil vom 7. Dezember 2020 – 410d C 197/20, GRUR-RS 2020, 46246 (juris) (Unbefugte) Werbung — 0 Übersendung einer Werbe-E-Mail an berufliche E-Mail-Adresse eines gewerblichen Empfängers nach ausdrücklichem Widerspruch. Verstoß gegen Art. 6 Abs. 1 S. 1 DSGVO. Ein Verstoß gegen die DSGVO sei nicht ausreichend für einen Anspruch nach Art. 82 DSGVO, da ein Verstoß eine Rechtsverletzung nach sich ziehen müsse, die als immaterieller Schaden entsprechend der in EG Nr. 75 DSGVO genannten Beispiele eingeordnet werden kann; bloßer Ärger oder individuell empfundene Unannehmlichkeiten dem Gericht zufolge nicht ausreichend. — AG Goslar 22.01.24 AG Goslar, Urteil vom 22. Januar 2024 – 28 C 7/19 (juris) (Unbefugte) Werbung BVerfG, Beschluss vom 14. Januar 2021 – 1 BvR 2853/19, NJW 2021, 1005 (juris); AG Goslar, Urteil vom 27. September 2019 – 28 C 7/19; AG Goslar, Beschluss vom 11. November 2019 – 28 C 7/19. 25 Der Kläger erhielt eine unerwünschte E-Mail mit werbendem Inhalt an seine berufliche E-Mail-Adresse, ohne hierfür zuvor seine Einwilligung erteilt zu haben. Der Kläger forderte als Schadensersatz einen Betrag, der EUR 500 nicht unterschreiten solle. Dem Gericht zufolge besteht der Schaden das Klägers darin, dass er sich mit der unerwünschten E-Mail auseinandersetzen, sich um Auskunft bemühen sowie unerwünschte E-Mails löschen musste. Das AG Goslar bejahte zudem §§ 1004, 823 Abs. 1 bzw. 831 BGB als weitere Anspruchsgrundlagen. — Das AG Goslar hatte einen Schadensersatzanspruch im Jahr 2019 mangels Erheblichkeit des Verstoßes abgelehnt. Das BVerfG hob das Urteil auf und verwies die Sache zurück an das AG Goslar. OLG Brandenburg 01.03.24 OLG Brandenburg, Beschluss vom 1. März 2024 – 2 W 2/24, BeckRS 2024, 4619 (juris) Unbefugte Datenverarbeitung LG Potsdam, Beschluss vom 25. Oktober 2023 – 4 O 1/23. — Das Gericht hatte die hinreichende Erfolgsaussicht im Rahmen eines Prozesskostenhilfebeschlusses zu beurteilen, bei dem der Kläger Ersatz eines immateriellen Schadens u.a. nach Art. 82 DSGVO in Höhe von EUR 25.000 geltend machen möchte. Die Vorinstanz hatte die Prozesskostenhilfe versagt. Vorliegend handelt es sich um einen Fall der Amts- bzw. Staatshaftung für einen fehlerhaften Eintrag im Schengener Informationssystem. — — — — Das OLG Brandenburg hat das Verfahren zur erneuten Prüfung und Entscheidung an das LG mit der Maßgabe zurückverwiesen, dass von einer hinreichenden Erfolgsaussicht des Antrags in einem Umfang von EUR 5.000 nebst Rechtshängigkeitszinsen auszugehen sei. KG 15.09.21 KG, Urteil vom 15. September 2021 – 5 U 35/20, GRUR-RS 2021, 45808 (juris) (Unbefugte) Werbung LG Berlin, Urteil vom 11. Februar 2020 – 16 O 175/19 0 Übersendung von Werbung und Umfragen ohne Einwilligung sowie behaupteter Verstoß gegen Auskunftspflichten aus Art. 15 DSGVO. / — — OLG Hamm 19.05.22 OLG Hamm, Beschluss vom 19. Mai 2022 – 6 U 137/21, GRUR-RS 2022, 42401 (juris) (Unbefugte) Werbung — 0 Zusendung von 13 E-Mails aufgrund eines technischen Versehens nach Registrierung des Klägers auf der Plattform der Beklagten. — BVerfG 14.01.21 BVerfG, Beschluss vom 14. Januar 2021 – 1 BvR 2853/19, NJW 2021, 1005 (juris) (Unbefugte) Werbung AG Goslar, Urteil vom 27. September 2019 – 28 C 7/19; AG Goslar, Beschluss vom 11. November 2019 – 28 C 7/19; AG Goslar, Urteil vom 22. Januar 2024 – 28 C 7/19. — Ausgangsverfahren: Übersendung einer Werbe-E-Mail an berufliche E-Mail-Adresse ohne Einwilligung. — — Das AG Goslar hat Schadensersatz mangels Erheblichkeit des Verstoßes abgelehnt; zweifelhaft, ob nach DSGVO korrekte Auslegung, Vorlage an EuGH wäre notwendig gewesen. — — LG Mannheim 31.10.23 LG Mannheim, Urteil vom 31. Oktober 2023 – 10 O 80/23, GRUR-RS 2023, 35373 (Unbefugte) Werbung — 500 Weitergabe personenbezogener Daten der klagenden Partei, die Anrufe zu Werbezwecken erhielt und ein Abonnement abschloss. Verstoß gegen Art. 6 DSGVO. Bejaht wurde zudem ein Anspruch nach § 823 BGB. — OLG Dresden 09.01.24 OLG Dresden, Urteil vom 9. Januar 2024 – 4 U 1274/23, BeckRS 2024, 1174 (juris) (Unbefugte) Werbung LG Leipzig, Urteil vom 5. Juli 2023 – 7 O 539/23. 0 Ein Rechtsanwalt nutzte ihm aus einem anderen Mandat bekannte Kontaktdaten von Gläubigern einer insolventen GmbH, um diese werbend mit einem Rundbrief zu kontaktieren. Kein DSGVO-Verstoß (Datenverarbeitung sei nach der gemäß Art. 6 Abs. 1 lit. f) DSGVO vorzunehmenden Abwägung gerechtfertigt). Da schon der DSGVO-Verstoß verneint wurde, ließ das Gericht offen, ob ein Schaden nachgewiesen worden sei. — OLG Hamburg 10.01.24 OLG Hamburg, Urteil vom 10. Januar 2024 – 13 U 70/23, BeckRS 2024, 804 Unbefugte Datenabflüsse und -weitergaben LG Hamburg, Urteil vom 19. April 2023 – 318 O 56/22. 4.000 Meldung von Forderungen an Wirtschaftsauskunftei, obwohl die Voraussetzungen hierfür nicht vorlagen, sowie Weigerung, den Negativeintrag zu widerrufen. Verstoß gegen Art. 5, Art. 6 und Art. 4 Abs. 2 DSGVO. Der Betroffene habe dem Gericht zufolge durch die unberechtigte Anmeldung der Forderungen eine Beeinträchtigung des sozialen Ansehens durch die Darstellung als unzuverlässiger Schuldner hinnehmen müssen. Wegen vorherigem Bestreitens der Forderung durch den Betroffenen sowie wissentlicher und billigender Inkaufnahme der Pflichtwidrigkeit und des DSGVO-Verstoßes durch den Verantwortlichen sah das Gericht einen Schadensersatz in Höhe von EUR 2.000 je pflichtwidriger Forderungsanmeldung, mithin insgesamt EUR 4.000, als angemessen an. — Das Gericht sprach dem Betroffenen zudem einen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten in Höhe von EUR 498,57 zu. Das LG als vorherige Instanz hatte einen Schadensersatzanspruch in Höhe von EUR 2.000 bejaht. AG Lörrach 05.02.24 AG Lörrach, Urteil vom 5. Februar 2024 – 3 C 661/23, GRUR-RS 2024, 1801 Nicht erfüllte Auskunftspflichten — 713 Das beklagte Unternehmen hatten den betroffenen Kläger unaufgefordert zwecks Angebots eines Gas- und Stromliefervertrags ohne dessen Einwilligung angerufen, den der Kläger abschloss und kurze Zeit später widerrief. Der Kläger verlangte im Anschluss Auskunft nach Art. 15 DSGVO. Verstoß gegen Art. 6 und Art. 15 DSGVO Das Gericht sprach dem Betroffenen einen Schadensersatzanspruch nach Art. 82 DSGVO auf Erstattung vorgerichtlicher Rechtsanwaltskosten in Höhe von EUR 713,76 zu. Das Gericht bejahte zudem eine Erstattungsfähigkeit aus §§ 280 Abs. 1, 311 Abs. 2 Nr. 2, 241 Abs. 2 BGB und § 7 Abs. 2 Nr. 1 UWG. OLG Dresden 05.12.23 OLG Dresden, Urteil vom 5. Dezember 2023 – 4 U 1094/23, GRUR-RS 2023, 36858 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Chemnitz, Urteil vom 16. Mai 2023 – 1 O 757/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Das Gericht bejaht u.a. Verstöße gegen Art. 5 Abs. 1 lit. a), lit. b), Art. 6 Abs. 1 Unterabs. 1, Art. 12 und Art. 25 Abs. 1, Abs. 2 DSGVO. Der Betroffene habe dem Gericht zufolge keinen kausalen und konkreten Schaden nachgewiesen. — Das Gericht sprach dem Betroffenen keinen über den durch die Vorinstanz bejahten Schadensersatzanspruch, der sich in der Erstattung vorgerichtlicher Rechtsanwaltskosten erschöpfte, hinausgehenden Betrag zu. Das LG als vorherige Instanz hatte einen Schadensersatzanspruch in Höhe von EUR 250 als Erstattung vorgerichtlicher Rechtsanwaltskosten bejaht. OLG Oldenburg 04.12.23 OLG Oldenburg, Hinweisbeschluss vom 4. Dezember 2023 – 13 U 43/23, GRUR-RS 2023, 43781; OLG Oldenburg, Beschluss vom 20. Februar 2024 – 13 U 43/23, GRUR-RS 2024, 2789 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Aurich, Urteil vom 17. März 2023 – 5 O 227/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Insbesondere habe er nicht aufgrund des Scraping-Vorfalls seine Konto-Einstellungen geändert. — OLG Dresden 30.01.24 OLG Dresden, Urteil vom 30. Januar 2024 – 4 U 1398/23, GRUR-RS 2024, 2991 (juris). Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Chemnitz, Urteil vom 10. Juli 2023 – 1 O 1604/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Das Gericht bejaht jedenfalls Verstöße gegen Art. 5 Abs. 1 lit. a) und lit. b), Art. 6 Abs. 1 Unterabs. 1 und Art. 25 Abs. 1 und Abs. 2 DSGVO. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Das Gericht führt aus, dass ein Kontrollverlust allein nicht ausreiche, wenn eine Befürchtung unter Berücksichtigung der Umstände des Einzelfalls nicht glaubhaft sei. — Das OLG Dresden lehnte auch den Feststellungsantrag des Klägers auf Ersatz künftiger Schäden ab und führte aus, dass der DSGVO-Verstoß bereits mehrere Jahre zurückliege und die bloß theoretische Möglichkeit eines künftigen Schadenseintritts für ein Feststellungsinteresse nicht ausreiche. Zudem bestehe kein Rechtsschutzinteresse für einen weitergehenden Unterlassungsanspruch. Die Vorinstanz hatte dem Kläger einen Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten zugesprochen sowie dem Feststellungsantrag, der auf eine Ersatzpflicht künftiger Schäden gerichtet war, stattgegeben. OLG Dresden 30.01.24 OLG Dresden, Urteil vom 30. Januar 2024 – 4 U 1481/23, GRUR-RS 2024, 2999 (juris). Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Chemnitz, Urteil vom 28. Juli 2023 – 1 O 878/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Das Gericht bejaht jedenfalls Verstöße gegen Art. 5 Abs. 1 lit. a) und lit. b), Art. 6 Abs. 1 Unterabs. 1 und Art. 25 Abs. 1 und Abs. 2 DSGVO. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Das Gericht führt aus, dass ein Kontrollverlust allein nicht ausreiche, wenn eine Befürchtung unter Berücksichtigung der Umstände des Einzelfalls nicht glaubhaft sei. — Das OLG Dresden lehnte auch den Feststellungsantrag des Klägers auf Ersatz künftiger Schäden ab und führte aus, dass der DSGVO-Verstoß bereits mehrere Jahre zurückliege und die bloß theoretische Möglichkeit eines künftigen Schadenseintritts für ein Feststellungsinteresse nicht ausreiche. Zudem bestehe kein Rechtsschutzinteresse für einen weitergehenden Unterlassungsanspruch. Die Vorinstanz hatte dem Kläger einen Anspruch Zahlung in Höhe von EUR 500 zugesprochen sowie dem Feststellungsantrag, der auf eine Ersatzpflicht künftiger Schäden gerichtet war, stattgegeben. OLG Dresden 23.01.24 OLG Dresden, Urteil vom 23. Januar 2024 – 4 U 1313/23, GRUR-RS 2024, 2992 (juris). Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Chemnitz, Urteil vom 29. Juni 2023 – 1 O 1304/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Das Gericht bejaht jedenfalls Verstöße gegen Art. 5 Abs. 1 lit. a) und lit. b), Art. 6 Abs. 1 Unterabs. 1 und Art. 25 Abs. 1 und Abs. 2 DSGVO. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Das Gericht führt aus, dass ein Kontrollverlust allein nicht ausreiche, wenn eine Befürchtung unter Berücksichtigung der Umstände des Einzelfalls nicht glaubhaft sei. — Das OLG Dresden lehnte auch den Feststellungsantrag des Klägers auf Ersatz künftiger Schäden ab und führte aus, dass der DSGVO-Verstoß bereits mehrere Jahre zurückliege und die bloß theoretische Möglichkeit eines künftigen Schadenseintritts für ein Feststellungsinteresse nicht ausreiche. Zudem bestehe kein Rechtsschutzinteresse für einen weitergehenden Unterlassungsanspruch. Die Vorinstanz hatte dem Feststellungsantrag, der auf eine Ersatzpflicht künftiger Schäden gerichtet war, stattgegeben. OLG Dresden 30.01.24 OLG Dresden, Urteil vom 30. Januar 2024 – 4 U 1396/23, GRUR-RS 2024, 2996 (juris). Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Chemnitz, Urteil vom 10. Juli 2023 – 1 O 1144/23. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — — Das OLG Dresden lehnte den Feststellungsantrag des Klägers auf Ersatz künftiger Schäden ab und führte aus, dass der DSGVO-Verstoß bereits mehrere Jahre zurückliege und die bloß theoretische Möglichkeit eines künftigen Schadenseintritts für ein Feststellungsinteresse nicht ausreiche. Zudem bestehe kein Rechtsschutzinteresse für einen weitergehenden Unterlassungsanspruch. Die Vorinstanz hatte dem Feststellungsantrag, der auf eine Ersatzpflicht künftiger Schäden gerichtet war, stattgegeben sowie einen Anspruch des Klägers auf Erstattung vorgerichtlicher Rechtsanwaltskosten bejaht. OLG Dresden 30.01.24 OLG Dresden, Urteil vom 30. Januar 2024 – 4 U 1168/23, GRUR-RS 2024, 2991 (juris). Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform LG Chemnitz, Urteil vom 5. Juni 2023 – 1 O 848/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Das Gericht bejaht jedenfalls einen Verstöße gegen Art. 6, Art. 13 und Art. 25 Abs. 2 DSGVO. Der Kläger habe dem Gericht zufolge keinen immateriellen Schaden nachgewiesen. — Das OLG Dresden lehnte auch den Feststellungsantrag des Klägers auf Ersatz künftiger Schäden ab und führte aus, dass der DSGVO-Verstoß bereits mehrere Jahre zurückliege und die bloß theoretische Möglichkeit eines künftigen Schadenseintritts für ein Feststellungsinteresse nicht ausreiche. Zudem bestehe kein Rechtsschutzinteresse für einen weitergehenden Unterlassungsanspruch. Die Vorinstanz hatte dem Feststellungsantrag, der auf eine Ersatzpflicht künftiger Schäden gerichtet war, stattgegeben sowie einen Anspruch des Klägers in Höhe von EUR 500 bejaht. EuGH 05.03.24 EuGH, Urteil vom 5. März 2024 – C-755/21 P, BeckRS 2024, 3383 (juris). Unbefugte Datenabflüsse und -weitergaben EuG, Urteil vom 29. September 2021 – T-528/20. 2.000 Europol extrahierte Daten auf zwei Mobiltelefonen des Klägers und übermittelte diese an slowakische Ermittlungsbehörden. Ein Jahr später landeten aus diesen Daten u.a. Mitschriften intimer Kommunikation zwischen dem Kläger und dessen Partnerin aus einem verschlüsselten Messenger-Dienst in der Presse. Zudem wurde der Name des Klägers u.a. im Zusammenhang mit einer sog. "Mafia-Liste" genannt. Der Kläger forderte für die zwei genannten Datenverarbeitungen jeweils EUR 50.000, mithin insgesamt EUR 100.000. Verstoß gegen Vorschriften der Europol-Verordnung. / Der EuGH gewährt nach billigem Ermessen einen Schadensersatz in Höhe von EUR 2.000 als aus seiner Sicht angemessenen Ausgleich ausschließlich für die Weitergabe der intimen Kommunikation. Der EuGH führt aus, dass Europol und der Mitgliedstaat, in dem aufgrund einer widerrechtlichen Datenverarbeitung im Rahmen der Zusammenarbeit ein Schaden eingetreten ist, für diesen Schaden gesamtschuldnerisch haften. Es ging in dem Verfahren nicht um Art. 82 DSGVO, sondern um Art. 49 Abs. 3, Art. 50 Abs. 1 Europol-Verordnung. Die vorherige Instanz, das EuG, hatte einen Schadensersatz abgelehnt. OLG Stuttgart 02.02.24 OLG Stuttgart, Hinweisbeschluss vom 2. Februar 2024 – 2 U 63/22, GRUR-RS 2024, 3802 (Unbefugte) Werbung LG Stuttgart, Urteil vom 25. Februar 2022 – 17 O 807/21, BeckRS 2022, 4821 (juris). 0 Übersendung von postalischer Direktwerbung zur Gewinnung von Neukunden. Das Gericht betont, dass geltend gemachte Befürchtungen unter den gegebenen Umständen und im Hinblick auf den Betroffenen als begründet angesehen werden müssten. — LG Freiburg 08.02.24 LG Freiburg, Urteil vom 8. Februar 2024 – 8 O 212/23, GRUR-RS 2024, 4526 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 100 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform aufgrund offener API-Schnittstelle. Das Gericht betont, dass der Kontrollverlust über personenbezogene Daten allein noch keinen immateriellen Schaden im Sinne des Art. 82 DSGVO darstelle, sondern dass eine Angst vor missbräuchlicher Verwendung durch Dritte hinzukommen müsse, wobei das entscheidende Gericht zu prüfen habe, ob diese Befürchtungen unter den gegebenen Umständen und im Hinblick auf den Betroffenen als begründet angesehen werden können. Das Gericht betont zudem, dass allein in einem vermehrten Spam-Aufkommen ebenfalls kein Schaden liege, sofern sich die Beeinträchtigung des Betroffenen in Verärgerung über den Mehraufwand des Aussortierens der unerwünschten E-Mails erschöpfe. LG Passau 16.02.24 LG Passau, Urteil vom 16. Februar 2024 – 1 O 616/23, GRUR-RS 2024, 387 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — OLG Brandenburg 05.03.24 OLG Brandenburg, Beschluss vom 5. März 2024 – 12 U 132/23, GRUR-RS 2024, 4611 (juris) Nicht erfüllte Auskunftspflichten LG Potsdam, Urteil vom 12. Juli 2023 – 11 O 280/22; OLG Brandenburg, Beschluss vom 11. Januar 2024 – 12 U 132/23, GRUR-RS 2024, 4609 (juris). 0 Behaupteter Verstoß gegen Art. 15 DSGVO, für den der Kläger Schadensersatz in Höhe von EUR 8.000 verlangte. / — Kein Verstoß gegen Art. 15 DSGVO. Das Gericht sah das Auskunftsverlangen als erfüllt an. Dem Kläger sei dem Gericht zufolge kein Schaden entstanden. Pauschale Behauptungen eines Kontrollverlusts genügten dem Gericht nicht. Bei Ärger, Unwohlsein und Stress handele es sich dem OLG zufolge um persönliche und psychische Beeinträchtigungen, zu denen konkrete Indizien vorgetragen und die durch einen Beweis und objektive Beweisanzeichen gestützt werden müssten. — LG Mannheim 15.03.24 LG Mannheim, Urteil vom 15. März 2024 – 1 O 99/23 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 50 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Der Kläger forderte als Schadensersatz einen Betrag, der EUR 3.000 nicht unterschreiten solle. / — Das Gericht bejaht einen Verstoß gegen Art. 25 und Art. 32 DSGVO und lässt das Vorliegen eines Verstoßes gegen Art. 13f. und Art. 33f. DSGVO offen. Zu einem aus den Verstößen gegen Art. 25 und Art. 32 DGVO entstandenen Schaden stellt das Gericht auf die konkreten Umstände des Betroffenen ab; der Kläger hatte u.a. vorgetragen, dass das Gefühl mit dem des Verlusts des Haustürschlüssels vergleichbar sei. Zu etwaigen Verstößen gegen Art. 13f. und Art. 33f. DSGVO habe der Kläger haftungsbegründend nicht schlüssig vorgetragen, dass gerade durch Verstöße gegen diese Vorschriften ein Schaden entstanden sei; die geltendgemachten Sorgen und Befürchtungen haben sich dem Gericht zufolge nicht auf fehlerhafte Informationen, sondern auf eine Offenlegung von Daten bezogen. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. ArbG Hannover 23.01.24 ArbG Hannover, Urteil vom 23. Januar 2024 – 1 Ca 121/23, BeckRS 2024, 2615 Nicht erfüllte Auskunftspflichten — 250 Ein ohne Begründung abgelehnter Bewerber machte gegen ein Versicherungsunternehmen einen Anspruch auf Auskunft nach Art. 15 DSGVO geltend, den das beklagte Unternehmen nicht ausreichend erfüllte. Der Kläger machte vielfach und regelmäßig von DSGVO-Auskunftsansprüchen gegen Unternehmen Gebrauch und machte geltend, von diesem Aufwand zur Durchsetzung seiner Rechte "massiv genervt" zu sein. Der Kläger forderte als Schadensersatz einen Betrag, der EUR 2.000 nicht unterschreiten solle. Verstoß gegen Art. 15 Abs. 1 lit. d), Abs. 3 und Art. 12 Abs. 1, Abs. 3 DSGVO. Das geltend gemachte massive Genervt Sein stelle dem Gericht zufolge einen negativen emotionalen Zustand und damit einen (immateriellen) Schaden dar. — LG Mannheim 15.03.24 LG Mannheim, Urteil vom 15. März 2024 – 1 O 93/23 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Das Gericht bejaht einen Verstoß gegen Art. 25 und Art. 32 DSGVO und lässt das Vorliegen eines Verstoßes gegen Art. 13f. und Art. 33f. DSGVO offen. Dem Gericht zufolge habe der Kläger keinen Schaden dargelegt, sondern auf Befragung des Gerichts lediglich ausgeführt, seit dem Vorfall vorsichtiger zu sein. Einen "Wegfall von Unbeschwertheit" ließ das Gericht als immateriellen Schaden nicht ausreichen. Auch ein vermehrtes Spam-Aufkommen sei nicht nachweislich auf den Scraping-Vorfall zurückzuführen. — Das Gericht stellte lediglich fest, dass der Beklagte verpflichtet sei, dem Betroffenen künftige auf dem Datenleck beruhende Schäden zu ersetzen. LG Frankfurt a. M. 19.03.24 LG Frankfurt a. M., Urteil vom 19. März 2024 – 2-10 O 691/23, BeckRS 2024, 5840 Unbefugte Datenabflüsse und -weitergaben — 0 Weitergabe personenbezogener Daten durch ein Telekommunikationsunternehmen an eine Auskunftei ohne Einwilligung. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Der Vortrag eines abstrakten Kontrollverlusts reiche nicht aus. Negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst seien an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens, sodass es nicht gerechtfertigt sei, einen Schadensersatzanspruch zuzusprechen, wenn nicht von inneren auf äußere Umständen geschlossen werden könne und wenn nicht ersichtlich sei, dass es einen Einfluss auf die Lebensführung gegeben habe. — OLG Dresden 01.03.24 OLG Dresden, Beschluss vom 1. März 2024 – 4 U 1550/23, GRUR-RS 2024, 6851 (juris) Unbefugte Datenverarbeitung LG Dresden, Urteil vom 4. August 2023 – 3 O 482/23. 0 Ein Rechtsanwalt nutzte ihm aus einem anderen Mandat bekannte Kontaktdaten von Gläubigern eines insolventen Unternehmens, um diese zu kontaktieren. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Die Behauptung von Verwunderung, Verunsicherung und eines beklemmenden Gefühls lege nicht ausreichend einen immateriellen Schaden im Einzelfall dar. — Das OLG Dresden hat zur Rücknahme der Berufung geraten. OLG Dresden 20.02.24 OLG Dresden, Urteil vom 20. Februar 2024 – 4 U 1608/23, GRUR-RS 2024, 6857 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Revision zugelassen; LG Dresden, Urteil vom 18. August 2023 – 3 O 1515/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Das Gericht bejaht jedenfalls Verstöße gegen Art. 5 Abs. 1 lit. a) und lit. b), Art. 6 Abs. 1 Unterabs. 1 und Art. 25 Abs. 1 und Abs. 2 DSGVO. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Das Gericht führt aus, dass ein Kontrollverlust allein nicht ausreiche, wenn eine Befürchtung unter Berücksichtigung der Umstände des Einzelfalls nicht glaubhaft sei. — Das OLG Dresden lehnte auch den Feststellungsantrag des Klägers auf Ersatz künftiger Schäden ab und führte aus, dass der DSGVO-Verstoß bereits mehrere Jahre zurückliege und die bloß theoretische Möglichkeit eines künftigen Schadenseintritts für ein Feststellungsinteresse nicht ausreiche. Zudem bestehe kein Rechtsschutzinteresse für einen weitergehenden Unterlassungsanspruch. OLG Dresden 20.02.24 OLG Dresden, Urteil vom 20. Februar 2024 – 4 U 1634/23, GRUR-RS 2024, 6858 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Revision zugelassen; LG Dresden, Urteil vom 25. August 2023 – 3 O 780/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. / — Das Gericht bejaht jedenfalls Verstöße gegen Art. 5 Abs. 1 lit. a) und lit. b), Art. 6 Abs. 1 Unterabs. 1 und Art. 25 Abs. 1 und Abs. 2 DSGVO. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Das Gericht führt aus, dass ein Kontrollverlust allein nicht ausreiche, wenn eine Befürchtung unter Berücksichtigung der Umstände des Einzelfalls nicht glaubhaft sei. Das Gericht beruft sich auf die Schlussanträge des EuGH-Generalanwalts aus dem Verfahren C-340/21 und führt aus: "Entscheidend ist, dass es sich nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und auch vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen personenbezogenen Daten und die Bedeutung, die sie im Leben der betroffenen Person haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen, mit der Datenverletzung verbundenen Beeinträchtigung hat". — Das OLG Dresden lehnte auch den Feststellungsantrag des Klägers auf Ersatz künftiger Schäden ab und führte aus, dass der DSGVO-Verstoß bereits mehrere Jahre zurückliege und die bloß theoretische Möglichkeit eines künftigen Schadenseintritts für ein Feststellungsinteresse nicht ausreiche. Zudem bestehe kein Rechtsschutzinteresse für einen weitergehenden Unterlassungsanspruch. OLG Celle 04.04.24 OLG Celle, Urteil vom 4. April 2024 – 5 U 77/23, BeckRS 2024, 6436 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Revision zugelassen; LG Hildesheim, Urteil vom 31. Januar 2023 – 3 O 102/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Das Gericht wies die Berufung bereits als unzulässig ab, da es nicht den Voraussetzungen genüge, wenn die Berufungsbegründung nicht auf die Entscheidung der vorherigen Instanz zugeschnitten ist, sondern aus Textbausteinen besteht, die gerichtsbekannt in einer Vielzahl von ähnlich gelagerten Fällen wieder verwendet werden. — Das OLG Celle stufte die Berufung bereits als unzulässig ein. Das LG hatte die Klage u.a. auf Schadensersatz nach Art. 82 DSGVO in Höhe von mindestens EUR 1.000 als vorherige Instanz abgewiesen, wogegen der Kläger seine Berufung richtet. LAG Rheinland-Pfalz 08.02.24 LAG Rheinland-Pfalz, Urteil vom 8. Februar 2024 – 5 Sa 154/23, BeckRS 2024, 4219 (juris) Nicht erfüllte Auskunftspflichten ArbG Mainz, Urteil vom 1. Juni 2023 – 6 Ca 350/22. 0 Ein Arbeitnehmer verlangte Auskunft nach Art. 15 DSGVO und die Kopie der personenbezogenen Daten, die Gegenstand der Datenverarbeitung durch den Arbeitgeber sind. Der Arbeitgeber erteilte die Auskunft, aber übermittelte keine Kopie. Der Arbeitgeber hat dem Gericht zufolge die Auskunftsanfrage nicht rechtzeitig beantwortet. Der Kläger habe dem Gericht zufolge keinen immateriellen Schaden aufgrund der verspäteten Auskunft bzw. Kopie-Erteilung nachgewiesen. U.a. der Vortrag des Kontrollverlusts reiche nicht aus, da die Daten nicht "außer Kontrolle" geraten seien. Ebenso stellen Ärger und Warten dem Gericht zufolge keinen ersatzfähigen immateriellen Schaden dar. — Das ArbG hatte den Anspruch des Klägers auf Schadensersatz nach Art. 82 DSGVO in Höhe von EUR 1.000 bejaht. OLG Celle 04.04.24 OLG Celle, Urteil vom 4. April 2024 – 5 U 31/23, GRUR-RS 2024, 6435 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Revision zugelassen; LG Lüneburg, Urteil vom 24. Urteil 2023 – 3 O 74/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Das Gericht wies die Berufung bereits als unzulässig ab, da es nicht den Voraussetzungen genüge, wenn die Berufungsbegründung nicht auf die Entscheidung der vorherigen Instanz zugeschnitten ist, sondern aus Textbausteinen besteht, die gerichtsbekannt in einer Vielzahl von ähnlich gelagerten Fällen wieder verwendet werden. — Das OLG Celle stufte die Berufung bereits als unzulässig ein. Das LG hatte dem Kläger einen Anspruch auf Schadensersatz nach Art. 82 DSGVO in Höhe von EUR 300 in der vorherigen Instanz zugesprochen, wogegen der Kläger seine Berufung richtet und mindestens EUR 1.000 fordert. OLG Oldenburg 16.04.24 OLG Oldenburg, Urteil vom 16. April 2024 – 13 U 59/23 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform n.b. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen kausalen ersatzfähigen und individuellen Schaden nachgewiesen, insb. auch nicht in der Anhörung durch das Gericht. Allein das Betroffensein vom Datenleck reiche nicht aus. — OLG Oldenburg 16.04.24 OLG Oldenburg, Urteil vom 16. April 2024 – 13 U 79/23 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform n.b. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen kausalen ersatzfähigen und individuellen Schaden nachgewiesen, insb. auch nicht in der Anhörung durch das Gericht. Allein das Betroffensein vom Datenleck reiche nicht aus. — OLG Oldenburg 16.04.24 OLG Oldenburg, Urteil vom 16. April 2024 – 13 U 60/23 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform n.b. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen kausalen ersatzfähigen und individuellen Schaden nachgewiesen, insb. auch nicht in der Anhörung durch das Gericht. Allein das Betroffensein vom Datenleck reiche nicht aus. — LG Freiburg 20.09.23 LG Freiburg, Urteil vom 20. September 2023 – 8 O 50/23, GRUR-RS 2023, 39655 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 300 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. /— Das Gericht bejaht Verstöße gegen Art. 5 Abs. 1 lit. a) und lit. f), Art. 6 Abs. 1 lit. a), Art. 13, Art. 24, Art. 25 Abs. 2, Art. 32 und Art. 33 Abs. 1 DSGVO. Ob Verstöße gegen Art. 15 und Art. 34 DSGVO vorliegen, lässt das Gericht offen. Der Schaden kann dem Gericht zufolge in einem unguten Gefühl, Angst oder Besorgnis liegen, dass personenbezogene Daten des Betroffenen unbefugten Personen bekannt geworden sind, sofern die Gefahr bestehe, dass die Daten unbefugterweise weiterverwendet werden könnten. Die Erwähnung des "Kontrollverlusts" als Schaden in den Erwägungsgründen der DSGVO beziehe die Angst und Besorgnis um die Daten mit ein. Die Besorgnis habe sich im konkreten Fall durch ungewünschte Nachrichten und Anrufe, teilweise in betrügerischer Absicht, bestätigt. Die Einbeziehung der Telefonnummer des Betroffenen in den Datensatz verschärfe das Risiko, sodass dem Betroffenen nicht vorgehalten werden könne, die Daten selbst bereits veröffentlicht zu haben. Das Gericht zieht Art. 83 Abs. 2 DSGVO zur Bemessung der Höhe des Schadens heran und lässt anspruchserhöhend einfließen, dass dem Verantwortlichen mehrere DSGVO-Verstöße zur Last fallen und die DSGVO nicht nur in einem Einzelfall, sondern systematisch und langfristig missachtet worden sei. Das Gericht sprach dem Betroffenen außerdem einen Schadensersatzanspruch nach Art. 82 DSGVO auf Erstattung vorgerichtlicher Rechtsanwaltskosten in Höhe von EUR 453,87 zu. Das Gericht stellte zudem fest, dass der Beklagte verpflichtet sei, dem Betroffenen auch künftige auf dem Datenleck beruhende Schäden zu ersetzen. AG Hamburg-St.Georg 05.03.24 AG Hamburg-St.Georg, Urteil vom 5. März 2024 – 924 C 203/23, BeckRS 2024, 7119 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. In dem vorliegenden Fall klagte der Betroffene gegen seine Rechtsschutzversicherung auf Deckungszusage. — — — — Das Gericht verpflichtete die beklagte Versicherung, Deckungsschutz für die Geltendmachung eines Schadensersatzanspruchs nach Art. 82 DSGVO zu gewähren. LG Magdeburg 29.02.24 LG Magdeburg, Urteil vom 29. Februar 2024 – 10 O 530/23, GRUR-RS 2024, 8057 (Unbefugte) Werbung — 0 Der Kläger wandte sich gegen das Einwilligungsmodell des beklagten Anbieters von Social Media Plattformen, wonach entweder in die Verwendung der Daten für Werbeanzeigen eingewilligt oder ein werbefreies, aber dafür kostenpflichtiges Abonnement abgeschlossen werden konnte. Der Kläger verlangte erfolglos Auskunft und Schadensersatz. Der Kläger habe keine Weitergabe von personenbezogenen Daten durch den Beklagten dargelegt. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Die Behauptung eines unangenehmen Gefühls bei der kostenlosen Nutzung der Dienste des Beklagten, dessen Geschäftsmodell von Werbeeinnahmen abhänge, reiche hierfür nicht aus. Dem behaupteten Unwohlsein widerspreche auch, dass der Kläger nicht bereit sei, für eine werbefreie Nutzung der Dienste zu zahlen. — LG Hildesheim 05.03.24 LG Hildesheim, Urteil vom 5. März 2024 – 3 O 139/23, GRUR-RS 2024, 8040 (Unbefugte) Werbung — 0 Der Kläger wandte sich gegen das Einwilligungsmodell des beklagten Anbieters von Social Media Plattformen, wonach entweder in die Verwendung der Daten für Werbeanzeigen eingewilligt oder ein werbefreies, aber dafür kostenpflichtiges Abonnement abgeschlossen werden konnte. Der Kläger entschied sich für das werbefreie Abo und verlangte erfolglos Auskunft, Unterlassung einer Datenverarbeitung zu dem Zweck der zielgerichteten Werbung und Schadensersatz. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Die unbegründete Befürchtung, dass personenbezogene Daten an werbetreibende Dritte weitergegeben würden, reiche nicht aus. — LG Gießen 03.03.24 LG Gießen, Urteil vom 3. März 2024 – 9 O 523/23, GRUR-RS 2024, 7986 Unbefugte Datenabflüsse und -weitergaben — 0 Weitergabe personenbezogener Daten durch ein Telekommunikationsunternehmen an eine Auskunftei ohne Einwilligung. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Das Gefühl des Klägers, Sorge hinsichtlich seiner Bonität erlitten zu haben, ergebe sich nicht aus dem Verhalten des Beklagten, sondern daraus, dass der Kläger Verbindlichkeiten tatsächlich nicht bedient habe, sodass die Meldung des Beklagten nicht dazu geeignet gewesen sei, die Bonität des Klägers weiter zu verschlechtern. — LG München I 19.04.24 LG München I, Urteil vom 19. April 2024 – 31 O 2122/23, GRUR-RS 2024, 8094 Unbefugte Datenabflüsse und -weitergaben — 0 Abfluss personenbezogener Daten eines Kunden aufgrund eines Datenlecks bei einem Betreiber einer Webseite, die u.a. Wertpapier- und Brokeragedienstleistungen anbietet. Zu dem Datenabfluss kam es nachdem u.a. Admin-Passwörter nach Beendigung von Vertragsbeziehungen zu einem IT-Dienstleister nicht geändert wurden, welcher im Nachgang Ziel eines Hackerangriffs wurde. Die personenbezogenen Daten von über 30.000 Kunden wurden in der Folge im Darknet angeboten. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen, der sich kausal auf den Datenvorfall zurückführen lasse. Formelhafte allgemeine Ausführungen, die identisch in mehreren Gerichtsverfahren vorgebracht werden, reichen dem Gericht zufolge hierfür nicht aus. Unerwünschte Kontaktversuche, Kurznachrichten oder betrügerische Anrufe erhielten gerichtsbekannt auch Personen, die nicht Kunde des Beklagten seien. Anhaltspunkte über einen erlittenen Kontrollverlust bezüglich Daten, über die der Kläger bis zu dem Vorfall die Kontrolle gehabt hätte, seien nicht ersichtlich. Unangenehme Gefühle und bloße Unannehmlichkeiten seien keine haftungsrelevante Beeinträchtigung. Einem erlittenen immateriellen Schaden widerspreche auch, dass der Kläger weiterhin Kunde des Beklagten sei. — Etwaige Gründe für die Abkehr von seiner vorherigen Rechtsprechung (vgl. LG München I, Urteil vom 9. Dezember 2021 – 31 O 16606/20) erläutert das LG nicht. OLG München 24.04.24 OLG München, Urteil vom 24. April 2024 – 34 U 2306/23 e, GRUR-RS 2024, 8563 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform Revision zugelassen; LG München I, Urteil vom 20. April 2023 – 15 O 4507/22. 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen, der sich kausal auf etwaige DSGVO-Verstöße des Beklagten zurückführen lasse. Hinsichtlich stets öffentlich einsehbarer Daten liege schon kein Kontrollverlust vor. Hinsichtlich der nicht öffentlich hinterlegten Mobilfunknummer liege der immaterielle Schaden nicht in einem Kontrollverlust, sondern könne sich dem Gericht zufolge erst als Folge eines Kontrollverlusts ergeben. Das Gericht entwickelt hieraus eine dreistufige Prüfung: 1. DSGVO-Verstoß, 2. negative Folge wie z.B. Kontrollverlust, 3. Schaden. — Das LG sprach dem Betroffenen als vorherige Instanz einen Anspruch in Höhe von EUR 600 zu und verurteilte den Beklagten zudem zur Unterlassung. LG Lüneburg 07.12.23 LG Lüneburg, Urteil vom 7. Dezember 2023 – 5 O 6/23 (Unbefugte) Werbung — 0 Der Kläger erhielt unerwünschte E-Mails mit werbendem Inhalt an seine E-Mail-Adresse, nachdem er sich von einem Newsletter des Beklagten abgemeldet und den Beklagten mehrfach darauf hingewiesen hatte. Das Gericht bejaht einen Verstoß gegen Art. 6 Abs. 1 lit. a) DSGVO. Der Kläger habe dem Gericht zufolge dargelegt, Ärger und ein Gefühl der Hilflosigkeit sowie des Kontrollverlusts erlitten und Zeit dafür aufgewendet zu haben, den Beklagten mehrfach auf die bereits zurückgenommene Einwilligung hinzuweisen, woraufhin er aber weitere E-Mails mit werbendem Inhalt erhielt. — Das Gericht sprach dem Betroffenen außerdem einen Schadensersatzanspruch nach Art. 82 DSGVO auf Erstattung vorgerichtlicher Rechtsanwaltskosten in Höhe von EUR 540,50 zu. LG Passau 09.04.24 LG Passau, Urteil vom 9. April 2024 – 4 O 260/23, GRUR-RS 2024, 8093 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Der Kläger sei durch das Gericht informatisch angehört worden und habe nicht von Ängsten o.ä. berichtet. — LG Leipzig 10.10.23 LG Leipzig, Urteil vom 10. Oktober 2023 – 03 O 175/23, GRUR-RS 2023, 39377 (Unbefugte) Werbung Das OLG Dresden, 23. November 2023 – 4 W 745/23 hatte als nachfolgende Instanz noch über den Streitwert zu entscheiden. 0 Ein Rechtsanwalt nutzte ihm aus einem anderen Mandat bekannte Kontaktdaten von Gläubigern einer insolventen GmbH, um diese werbend mit einem Rundbrief zu kontaktieren. — Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen. Der Beklagte habe den klägerischen Vortrag u.a. hinsichtlich erlittener Verunsicherung oder Erschütterung des Vertrauens in den anwaltlichen Berufsstand erfolgreich mit Nichtwissen bestritten. — LG Düsseldorf 19.07.23 LG Düsseldorf, Urteil vom 19. Juli 2023 – 12 O 83/22, GRUR-RS 2023, 42781 (juris) Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform — 0 Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. /— Der Kläger habe dem Gericht zufolge keinen Schaden nachgewiesen, der sich kausal auf DSGVO-Verstöße des Beklagten zurückführen lasse. Der behauptete Kontrollverlust habe sich in der persönlichen Anhörung des Klägers, der z.B. die betroffene Telefonnummer weiter nutze, durch das Gericht nicht bestätigt. — Gericht Datum Fundstelle Art des Verstoßes Verfahrensgang Ergebnis Betrag Sachverhalt DSGVO-Verstoß Schadensersatz Verantwortlichkeit Ergebnis #table_2 > tbody > tr > td.column-schadensersatzsumme:not(:empty):before, #table_2 > tbody > tr.row-detail ul li.column-schadensersatzsumme span.columnValue:before { content: 'EUR ' }table.wpDataTable { table-layout: fixed !important; } table.wpDataTable td, table.wpDataTable th { white-space: normal !important; } .dataTables_filter { float: left; !important text-align: right; }table.wpDataTable td.numdata { text-align: right !important; } setTimeout(() => { document.getElementById("contact-box").removeAttribute("x-sticky"); document.getElementById("contact-box").removeAttribute("x-sticky-");console.log("Test") }, "10"); setTimeout(() => { document.getElementById("contact-box").removeAttribute("x-sticky"); document.getElementById("contact-box").removeAttribute("x-sticky-");console.log("Test") }, "2000"); /* table.wpDataTableID-3 .ErgebnisSpalte { width:25% !important } table.wpDataTableID-3 .column-art-des-verstoes { width:25% !important } table.wpDataTableID-3 .column-gericht { width:20% !important } /* th background color */ .wpdt-c.wpDataTablesWrapper table.wpdtSimpleTable.bt[data-has-header='1'] td.wpdt-header-classes, .wpdt-c.wpDataTablesWrapper table#wpdtSimpleTable-3 thead th, .wpdt-c .wpDataTablesWrapper table.wpDataTable.wpDataTableID-3 > thead > tr > th, .wpdt-c .wpDataTablesWrapper table.wpDataTable.wpDataTableID-3 thead th, .wpdt-c .wpDataTablesWrapper table.wpDataTable.wpDataTableID-3 thead th.sorting { background-color: rgba(13, 83, 95, 1) !important; background-image: none !important; } /* th font color */ .wpdt-c.wpDataTablesWrapper table.wpdtSimpleTable.bt[data-has-header='1'] td.wpdt-header-classes, .wpdt-c.wpDataTablesWrapper table#wpdtSimpleTable-3 thead th, .wpdt-c .wpDataTablesWrapper table.wpDataTable.wpDataTableID-3 thead th { color: rgba(255, 255, 255, 1) !important; } .wpdt-c .wpDataTablesWrapper table.wpDataTable.wpDataTableID-3 thead th.sorting:after, .wpdt-c .wpDataTablesWrapper table.wpDataTable.wpDataTableID-3 thead th.sorting_asc:after { border-bottom-color: rgba(255, 255, 255, 1) !important; } .wpdt-c .wpDataTablesWrapper table.wpDataTable.wpDataTableID-3 thead th.sorting_desc:after { border-top-color: rgba(255, 255, 255, 1) !important; }

Eine ständig aktualisierte Übersicht über DSGVO-Bußgelder in Deutschland und anderen EU-Ländern finden Sie über unseren Enforcement Tracker sowie weitere Informationen in der vierten Ausgabe des CMS Enforcement Tracker Reports.

*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) erschien zuerst auf CMS Blog.

Zusammenarbeit, Austausch und gegenseitiger Respekt sollten die Grundpfeiler einer modernen Arbeitsumgebung sein. Trotz der verstärkten öffentlichen Sensibilisierung für das Thema, insbesondere durch die #MeToo-Debatte, kommt es leider auch in diesem Umfeld immer noch häufig zu sexuellen Belästigungen.

Laut einer globalen Studie der International Labour Organization zu Gewalt- und Belästigungserfahrungen am Arbeitsplatz aus dem Jahr 2022 hat einer von 15 Erwerbstätigen bzw. etwa 205 Millionen Personen sexuelle Gewalt und Belästigung in ihrem Arbeitsleben erfahren. Von diesen haben mehr als zwei Drittel diese Vorfälle innerhalb der letzten fünf Jahre erlebt.

Die Antidiskriminierungsstelle des Bundes stellte in ihrer Studie aus dem Jahr 2019 „Strategien im Umgang mit sexueller Belästigung am Arbeitsplatz – Lösungsstrategien und Maßnahmen zur Intervention“ fest, dass jede elfte erwerbstätige Person (neun Prozent der Befragten*) in den vergangenen drei Jahren sexuelle Belästigung am Arbeitsplatz erlebt hat. Frauen waren mehr als doppelt so häufig betroffen wie Männer.

Werden Arbeitgeber mit solchen Situationen konfrontiert, ist erforderlich, dass die Verantwortlichen wissen, wie sie angemessen und effektiv reagieren.

Prävention

Eine Studie der Antidiskriminierungsstelle aus dem Jahr 2015 legt nahe, dass Aufklärung zur Prävention sexueller Belästigung essenziell ist. Eine durchgeführte Befragung ergab, dass viele Formen von sexueller Belästigung von nur rund zwei Dritteln der Befragten als solche verstanden wurde. Erst recht, wenn #MeToo-Fälle im Unternehmen bekannt werden, sollten grundsätzlich Präventionsmaßnahmen in Betracht gezogen werden. Durch präventive Aktivität des Arbeitgebers wird das Signal gesendet, dass sexuelle Belästigung nicht toleriert wird, die Mitarbeitenden geschützt werden und über das Thema aufgeklärt werden soll. Geeignete Präventionsmaßnahmen sind insbesondere Schulungen, aber auch Aushänge und Betriebsvereinbarungen.

Interne Untersuchungen durchführen

Bringen Mitarbeitende die Anschuldigung vor, es sei zu einer sexuellen Belästigung gekommen, muss der Vorfall aufgeklärt werden. Für den Arbeitgeber besteht eine Ermittlungspflicht. Insbesondere ist es wichtig, beide Perspektiven zu untersuchen, also auch entlastende Umstände zu ermitteln. Dazu sollten Gespräche mit den betroffenen Mitarbeitenden geführt, Zeugen befragt und alle relevanten Beweise gesammelt werden. Eine transparente und professionelle Untersuchung ist entscheidend, um gerechte Maßnahmen zu ergreifen und das Vertrauen der Mitarbeiter zu wahren. 

Bei der möglichst genauen Ermittlung des Vorfalls haben die Verantwortlichen eine Doppelrolle inne: Auf der einen Seite sind sie dem Schutz der von sexueller Belästigung betroffenen Mitarbeitenden verpflichtet. Auf der anderen Seite müssen etwaige Sanktionen gegenüber den tatsächlich belästigenden Mitarbeitenden auch verhältnismäßig sein und das Thema ist vertraulich zu behandeln. Insbesondere in komplexen Fällen bietet es sich an, externe Hilfe zur Aufklärung in Anspruch zu nehmen. Das hat den Vorteil, dass externe Experten häufig mit einem objektiven Blick auf die Angelegenheit schauen können, sie sind nicht durch interne Dynamiken oder persönliche Beziehungen beeinflusst.

Disziplinarische Maßnahmen 

Ist der Sachverhalt aufgeklärt und hat sich ergeben, dass ein Vorfall sexueller Belästigung stattgefunden hat, muss der Arbeitgeber entscheiden, welche Maßnahmen ergriffen werden sollen. Je nach Schwere des ermittelten Sachverhalts können verschiedene Maßnahmen erforderlich sein. Diese können von einer mündlichen Ermahnung über eine schriftliche Abmahnung bis hin zu Versetzungen oder sogar Kündigungen reichen.

Ermahnung oder Abmahnung

Bei erstmaligen Vorfällen geringer Intensität kann eine Ermahnung ausgesprochen werden. Eine Ermahnung ist eine Rüge ohne Kündigungsandrohung. Sie ist als mildestes Mittel beispielsweise sinnvoll, wenn sich der belästigende Mitarbeitende zweideutig verhalten hat, das Verhalten also nach vollständiger Aufklärung und Überzeugung des Arbeitgebers tatsächlich nicht gewollt war, aber als Belästigung bewertet werden kann.

Die Abmahnung dagegen hat insbesondere eine Warnfunktion und soll künftigen Pflichtverletzungen vorbeugen. Durch die Abmahnung wird dem belästigenden Mitarbeitenden angedroht, dass ihm bei zukünftigen gleichgelagerten Fällen weitere arbeitsrechtliche Maßnahmen bis hin zur Kündigung drohen. Außerdem soll ihr im Rahmen der Hinweis- und Rügefunktion vor Augen geführt werden, dass das vorgefallene Verhalten aus Sicht des Arbeitgebers eine nicht hinnehmbare Pflichtverletzung darstellt. Aus diesem Grund ist es wichtig, das Verhalten ganz genau zu beschreiben. Im Rahmen der Dokumentationsfunktion hält eine (immer zu empfehlende) schriftliche Abmahnung fest, dass der belästigende Mitarbeitende auf drohende Folgen im Wiederholungsfall hingewiesen worden ist. Sie ebnet so den Weg für eine spätere Kündigung, sollte so etwas nochmal vorkommen.

Versetzung 

Ist eine Abmahnung nicht ausreichend, um auf das Verhalten zu reagieren, aber eine Kündigung erwiese sich als unwirksam, ist der belästigende Mitarbeitende zu versetzen. Diese Pflicht ergibt sich aus § 12 Abs. 3 AGG. Eine Versetzung sichert den Schutz der betroffenen Person und sendet das Signal in den Betrieb, dass belästigendes Verhalten nicht toleriert wird.

Hat der belästigende Mitarbeitende die Schwelle des Hinnehmbaren überschritten und ist das Vertrauensverhältnis dadurch zerstört, kann der Arbeitgeber die Kündigung aussprechen

Insbesondere in Wiederholungsfällen oder bei Dauertatbeständen kommt eine Kündigung in Betracht. Sexuelle Belästigungen am Arbeitsplatz sind häufig keine einmaligen Vorfälle. Die Auswertungen zur Anzahl belästigender Handlungen der Antidiskriminierungsstelle des Bundes in ihrer Studie „Strategien im Umgang mit sexueller Belästigung am Arbeitsplatz – Lösungsstrategien und Maßnahmen zur Intervention“ zeigt, dass die große Mehrheit der Betroffenen (83 Prozent) mehr als eine Situation im Zeitraum der letzten drei Jahre erlebt hat: knapp ein Drittel der Betroffenen (31 Prozent) waren mit zwei bis drei Situationen konfrontiert worden, zusammengenommen 39 Prozent mit vier bis zehn Situationen und weitere zwölf Prozent mit mehr als zehn Situationen in den letzten drei Jahren.

Auch außerordentliche Kündigungen sind denkbar

Eine außerordentliche Kündigung ist nur möglich, wenn das Verhalten an sich sowie auch im Einzelfall unter Berücksichtigung aller Umstände einen wichtigen Grund darstellt. Auch die Interessenabwägung muss zu Lasten des zu kündigenden Arbeitnehmers ausfallen. Eine wirksame außerordentliche Kündigung setzt voraus, dass das Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer durch das Verhalten nachhaltig so gestört sein, dass die Fortsetzung des Arbeitsverhältnisses für den Arbeitgeber auch nur bis zum Ablauf der Kündigungsfrist unzumutbar ist. 

Bei der außerordentlichen (fristlosen) Kündigung, hat der Arbeitgeber die zweiwöchige Kündigungsfrist zu beachten, die mit Kenntnis des der Kündigung zugrunde liegenden Sachverhalts beginnt. Dabei sind etwaige Verzögerungen einzukalkulieren, die durch Anhörungen von Gremien entstehen können. Der Arbeitgeber darf aber durchaus ermitteln und das auch länger als zwei Wochen, wenn dies zur Aufklärung des Sachverhalts erforderlich ist.

Verdachtskündigung, wenn keine vollständige Aufklärung möglich ist

Für eine Tatkündigung sollte der Arbeitgeber sich entscheiden, wenn nach seiner Überzeugung feststeht, dass das strafbare Verhalten bzw. die schwerwiegende Pflichtverletzung durch den belästigenden Mitarbeitenden tatsächlich stattgefunden hat. Eine Aufklärung des Vorfalls durch eine Anhörung des belästigenden Mitarbeitenden ist in diesen Fällen rechtlich nicht erforderlich.

Sollte sich der Arbeitgeber allerdings nicht vollständig sicher sein, dass eine sexuelle Belästigung stattgefunden hat, kann auch eine Verdachtskündigung in Betracht kommen. Hier liegt der Kündigungsgrund im dringenden Verdacht der Begehung einer Straftat oder einer schwerwiegenden Pflichtverletzung. Für die Wirksamkeit einer Verdachtskündigung ist die vorherige Anhörung des zu kündigenden Mitarbeitenden zu dem Verdacht zwingend erforderlich. Der Arbeitgeber muss nämlich alle zumutbaren Anstrengungen zur Aufklärung des Sachverhalts unternehmen.

Dabei ist zu beachten, dass bei einer Tat und einer Verdachtskündigung unterschiedliche Kündigungsgründe vorliegen, sodass etwaige Anhörungs- und Zustimmungserfordernisse für den jeweiligen Grund – ggf. für beide Gründe – erfüllt werden müssen.

Entscheidet sich der Arbeitgeber für die Kündigung, sollte der belästigende Mitarbeitende freigestellt werden

In der Beratungspraxis hat sich gezeigt, dass sich eine sofortige Freistellung nach dem Gespräch mit dem belästigenden Mitarbeitenden anbietet. So wird die Situation im Betrieb entschärft, der betroffene Mitarbeitende geschützt und die Gemüter können sich beruhigen. Außerdem sendet der Arbeitgeber dadurch auch langfristig das Signal der Null-Toleranz-Politik an die Belegschaft.

In unserer CMS-Blogserie informieren wir Sie mit Beiträgen über das Phänomen #MeToo im Kontext der Compliance-Beratung.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Sexuelle Belästigung am Arbeitsplatz: Welche repressiven Maßnahmen dürfen Arbeitgeber ergreifen? erschien zuerst auf CMS Blog.

Mit Beschluss vom 9. Januar 2024 (II ZB 20/22) hat der Bundesgerichtshof entschieden, dass ein Aufsichtsrat einer Aktiengesellschaft nicht nach § 104 Abs. 1 AktG ergänzt werden kann, wenn ein Aufsichtsratsmitglied die Mitwirkung im Aufsichtsrat boykottiert. Vielmehr ist dieses Aufsichtsratsmitglied – gegebenenfalls mit gerichtlicher Hilfe gemäß § 103 Abs. 3 AktG – abzuberufen.

Sachverhalt und Gang des Gerichtsverfahrens

In dem vom BGH zu entscheidenden Fall sieht der Gesellschaftsvertrag der AG vor, dass der Aufsichtsrat aus drei Mitgliedern besteht und er – entsprechend der gesetzlichen Regelung des § 108 Abs. 2 S. 3 AktG – nur beschlussfähig ist, wenn drei Mitglieder an der Beschlussfassung teilnehmen. Ein wenig kurios am Sachverhalt ist, dass die beiden Aktionäre der AG, bei denen es sich um zwei jeweils zur Hälfte am Grundkapital der AG beteiligte Kommanditgesellschaften handelt, in einer mündlichen Verhandlung vor dem erstinstanzlichen Landgericht zu einer Hauptversammlung zusammentraten, um das später boykottierende Aufsichtsratsmitglied zum Mitglied des Aufsichtsrats zu wählen. 

Diese ad hoc Bestellung des Aufsichtsratsmitglieds war nur möglich, weil es sich um eine Vollversammlung aller Aktionäre handelte, § 121 Abs. 6 AktG. Anschließend verweigerte das neu bestellte Aufsichtsratsmitglied seine Mitwirkung im Aufsichtsrat und verursachte damit dessen Beschlussunfähigkeit. Hintergrund dieses Verhaltens dürfte gewesen sein, dass die Gesellschafter einer der beiden Aktionäre die Töchter des neuen Aufsichtsratsmitglieds sind und diese zusammen mit dem neuen Mitglied zu einer Erbengemeinschaft gehören, gegen die die AG Zahlungsansprüche geltend machen will.

Die Antragssteller, der Vorstand und die zwei übrigen Aufsichtsratsmitglieder, reagierten auf die Boykotthaltung des neuen Aufsichtsratsmitglieds, indem sie als Ergänzungsantrag nach § 104 Abs. 1 AktG beantragten, ein Ersatzaufsichtsratsmitglied für das boykottierende Mitglied zu bestellen. 

Diesen Antrag wies das Landgericht zurück. Das OLG Thüringen (OLG Thüringen, Beschluss v. 14. September 2022 – 2 W 268/22) und schließlich der BGH bestätigten die Entscheidung des Landgerichts. 

Boykott eines Aufsichtsratsmitglieds ist kein Fall von § 104 Abs. 1 AktG

Nach Auffassung des BGH lagen die Voraussetzungen für eine Ersatzbestellung nach § 104 Abs. 1 S. 1 AktG nicht vor. § 104 Abs. 1 S. 1 AktG setzt voraus, dass dem Aufsichtsrat weniger Mitglieder angehören, als er für seine Beschlussfähigkeit braucht, der Aufsichtsrat also weniger als drei Mitglieder hat. Der BGH führt unter Verweis auf verschiedenen Literaturstimmen aus, dem Fehlen eines Mitglieds werde die dauerhafte Amtsverhinderung des Aufsichtsratsmitglieds gleichsetzt und nennt als Beispiele für eine dauerhafte Amtsverhinderung Krankheit, Verhinderung oder einen dauerhaften Interessenkonflikt sowie wenn das Aufsichtsratsmitglied ein Vorstandsmitglied gemäß § 105 Abs. 2 S. 1 AktG vertritt. Der BGH führt aus, selbst wenn man von einem Interessenkonflikt aufgrund der Erbstreitigkeit ausgehe, begründe dies allenfalls einen punktuellen Interessenkonflikt, aber keine dauerhafte Amtsverhinderung. Der BGH betont insoweit die Unterscheidung zwischen einer dauerhaften und einer nur vorübergehenden Amtsverhinderung.

Anschließend prüft der BGH, ob eine entsprechende Anwendung von § 104 Abs. 1 S. 1 AktG geboten sei. In der Literatur wird gerade in Fällen von Aufsichtsräten mit drei Mitgliedern eine entsprechende Anwendung des § 104 Abs. 1 S. 1 AktG vertreten. Eine solche Analogie lehnt der BGH allerdings mangels vergleichbarer Interessenlage ab. Ein dauerhaftes Boykottverhalten sei nicht mit einer dauerhaften rechtlichen oder tatsächlichen Verhinderung gleichzusetzen. Der Unterschied bestehe darin, dass der Boykott zu jeder Zeit durch das Aufsichtsratsmitglied beendet werden könne. Zudem löse die gerichtliche Bestellung eines Ersatzmitglieds das Problem nicht nachhaltig. Das Amt des gerichtlich bestellten Aufsichtsratsmitglieds erlischt, sobald der Mangel behoben ist, d.h. sobald das verhinderte Mitglied wieder mitwirkt. Das boykottierende Aufsichtsratsmitglied könne daher das Amt des gerichtlich bestellten Ersatzmitglieds dadurch beenden, dass es kurzzeitig seine Amtstätigkeit wiederaufnimmt. Kehrt es dann wieder zu seinem obstruktiven Verhalten zurück, stehe die AG mit ihrem Problem wieder am Anfang.

Abhilfe durch (gerichtliche) Abberufung des boykottierenden Aufsichtsratsmitglieds

Schließlich führt der BGH aus, dass es einer entsprechenden Anwendung des § 104 Abs. 1 S. 1 AktG zur Lösung des Problems der Beschlussunfähigkeit nicht bedürfe. Ein vom Aktiengesetz eröffneter Weg zur Wiederherstellung der Beschlussfähigkeit des Aufsichtsrats sei die Abberufung des boykottierenden Aufsichtsratsmitglieds nach § 103 AktG und die Bestellung eines neuen Mitglieds durch die Hauptversammlung oder das Gericht nach § 104 Abs. 1 AktG (weil dem Aufsichtsrat nach der Abberufung dann tatsächlich ein Mitglied fehlt).

Diese Auffassung wird bei den Antragstellern wohl zunächst auf wenig Gegenliebe gestoßen sein, da eine Abberufung des boykottierenden Aufsichtsratsmitglieds durch die Hauptversammlung praktisch nicht möglich sein dürfte, da die Töchter des Aufsichtsratsmitglieds dies über ihre mittelbare hälftige Beteiligung an der AG wohl zu verhindern wissen. Der Beschluss über die Abberufung eines Aufsichtsratsmitglieds bedarf – vorbehaltlich einer abweichenden Satzungsregelung – einer Mehrheit von drei Vierteln der abgegebenen Stimmen. 

Das Gericht verweist jedoch auf § 103 Abs. 3 AktG. Nach § 103 Abs. 3 S. 1 AktG hat das Gericht auf Antrag des Aufsichtsrats ein Aufsichtsratsmitglied abzuberufen, wenn in dessen Person ein wichtiger Grund vorliegt. Nach Auffassung des BGH handelt es sich bei einem nachweisbaren Boykottverhalten um solch einen wichtigen Grund. 

Allerdings bedarf der Antrag auf gerichtliche Abberufung eines Aufsichtsratsmitglieds eines vorherigen Beschlusses des Aufsichtsrats. Für diesen Beschluss muss der Aufsichtsrat wiederum beschlussfähig sein, sodass sich erneut das Problem stellt, dass das abzuberufende Aufsichtsratsmitglied durch sein Boykottverhalten die Beschlussfassung verhindern könnte. In diesem Fall hält es der BGH jedoch entgegen § 108 Abs. 2 Satz 3 AktG ausnahmsweise für zulässig, dass der Beschluss nur von zwei und nicht von drei Aufsichtsratsmitgliedern gefasst wird.

Entscheidung des BGH löst das Problem des boykottierenden Aufsichtsratsmitglieds praxistauglich

Die Entscheidung löst das in der Praxis häufiger als erwartet auftretende Problem, dass der dreiköpfige Aufsichtsrat durch die Boykotthaltung eines einzelnen Aufsichtsratsmitglieds blockiert wird und eine Abberufung durch die Hauptversammlung wegen einer Pattsituation im Aktionärskreis nicht möglich ist. Es ist auch dogmatisch richtig, die Lösung nicht über eine analoge Anwendung des § 104 Abs. 1 AktG zu suchen, sondern über eine gerichtliche Abberufung des Aufsichtsratsmitglieds, die ausnahmsweise auch von nur zwei Mitgliedern beantragt werden kann. Hätte der Gesetzgeber, dem die Problematik durchaus bekannt sein dürfte, eine Anwendung des § 104 Abs. 1 AktG auf diesen Fall gewollt, so hätte er im Rahmen der vergangenen Novellen des Aktiengesetzes ausreichend Gelegenheit gehabt, die Norm anzupassen. 

Eine der Beschlussunfähigkeit vorbeugende Lösungsalternative besteht darin, in der Satzung eine höhere Zahl von Aufsichtsratsmitgliedern vorzusehen, die Zahl der für die Beschlussfähigkeit erforderlichen Mitglieder aber bei drei zu belassen. Seit der Aktienrechtsnovelle 2016 ist es gesetzlich nicht mehr vorgeschrieben, dass die Zahl der Aufsichtsratsmitglieder durch drei teilbar sein muss, es sei denn, dies ist zur Erfüllung mitbestimmungsrechtlicher Vorgaben (Drittelbeteiligungsgesetz) erforderlich. Eine Erhöhung der Anzahl der Aufsichtsratsmitglieder ist jedoch mit einem erhöhten Personalaufwand verbunden, der nur bei größeren Gesellschaften oder bei absehbarem Blockadeverhalten gerechtfertigt sein dürfte.

Auswirkungen der Entscheidung auf die Fallgruppe des dauerhaft verhinderten Aufsichtsratsmitglieds

Es bleibt abzuwarten, ob sich der BGH der Literaturmeinung anschließen wird, wonach die dauernde Amtsverhinderung dem Fehlen eines Aufsichtsratsmitglieds nach § 104 Abs. 1 AktG gleichgestellt wird. Im vorliegenden Fall war diese Frage nicht entscheidungserheblich, da der BGH nur einen punktuellen Interessenkonflikt angenommen hat. Sie konnte daher offenbleiben. 

Allerdings lässt der BGH in seiner Entscheidung erhebliche Sympathien für diese Auffassung erkennen, da er im Rahmen seiner Analogieprüfung mit der dauerhaften Amtsverhinderung argumentiert. Würde sich der BGH dieser Auffassung anschließen, wäre dies jedoch inkonsequent gegenüber seiner vorliegenden Entscheidung zum dauerhaft boykottierenden Aufsichtsratsmitglied. 

Maßgebliches Entscheidungskriterium scheint für den BGH die Dauerhaftigkeit der Verhinderung zu sein. Als Beispiele für eine tatsächlich dauerhafte Verhinderung nennt der BGH Krankheit, Unerreichbarkeit und dauerhafte Interessenkonflikte. Bei diesen Beispielen wird es jedoch nicht immer gelingen, die Dauerhaftigkeit festzustellen, da es sich bei allen Beispielen um Prognosen handelt. Ob ein Interessenkonflikt dauerhaft ist, hängt oft von der Entwicklung des Konflikts ab. Umstände können sich ändern, sodass sich ein Interessenkonflikt auch auflösen kann. Der Verlauf einer Krankheit ist auch für Ärzte häufig schwer vorhersehbar. Und die Gründe für die Unerreichbarkeit des Amtsträgers sind der AG manchmal nicht bekannt, sodass die Dauerhaftigkeit der Unerreichbarkeit nicht beurteilt werden kann. Ähnliches gilt für die Vertretung eines Vorstandsmitglieds durch ein Aufsichtsratsmitglied, die der BGH als Beispiel für eine dauerhafte rechtliche Verhinderung anführt. Die Amtszeit des vertretenden Aufsichtsratsmitglieds ist von vornherein auf ein Jahr begrenzt, § 105 Abs. 2 S. 2 AktG, sodass es sich nur um eine vorübergehende Verhinderung handelt. 

Die Dauerhaftigkeit ist daher kein geeignetes Kriterium, um die Amtsverhinderung dem Fehlen der erforderlichen Zahl von Aufsichtsratsmitgliedern nach § 104 Abs. 1 AktG gleichzustellen. Konsequenter wäre es daher, wenn der BGH die Antragsteller auch im Fall der Amtsverhinderung auf die (gerichtliche) Abberufung des Aufsichtsratsmitglieds verweisen und eine Ersatzbestellung nach § 104 Abs. 1 AktG ablehnen würde.

Der Beitrag wurde mit Hilfe von Bianca Marie Götte erstellt.

Der Beitrag Das boykottierende Aufsichtsratsmitglied erschien zuerst auf CMS Blog.

Die Einführung des Lobbyregisters durch das Lobbyregistergesetz (LobbyRG vom 16. April 2021), sollte Transparenz im Miteinander von Politik, Wirtschaft und Zivilgesellschaft schaffen, um illegitime Formen der Interessenvertretung oder gar Fälle von Korruption nachvollziehbar zu machen und damit sogleich zu erschweren sowie das Bewusstsein der Öffentlichkeit schärfen.

Nunmehr hat der Gesetzgeber mit dem am 1. März 2024 in Kraft getretenen Änderungsgesetz weitreichende Neuerungen beschlossen, um die Aussagekraft der bisherigen Eintragungen zu stärken und den Anwendungsbereich maßvoll zu erweitern. Diese ziehen eine bußgeldbewehrte Pflicht zum Tätigwerden bis zum 30. Juni 2024 nach sich (Migrationspflicht). Die Verletzung entsprechender Mitteilungspflichten wird nach allgemeinen ordnungswidrigkeitenrechtlichen Grundsätzen den betreffenden Organisationen bzw. Unternehmen zugerechnet.

Zusätzliche Angaben zu den im Bereich der Interessenvertretung tätig werdenden Personen

Neuerdings ist bei jeder vertretungsberechtigten Person anzugeben, ob diese die Interessenvertretung unmittelbar ausübt, also persönlich (mündlich oder schriftlich) Kontakt mit den Adressaten in Bundestag oder Bundesregierung aufnimmt, um ihre Rolle für die jeweilige juristische Person, Personengesellschaft oder sonstige Organisation im Register transparent abzubilden. Hierzu gehören auch Maßnahmen der allgemeinen Klimapflege.

Zusätzlich sind künftig auch diejenigen Personen aus dem Verantwortungsbereich der registrierten Organisation anzugeben, die mit deren Wissen und Wollen unmittelbar und nicht nur bei Gelegenheit für sie auftreten und die Interessenvertretung auch tatsächlich ausüben. Nicht anzugeben sind hingegen solche Personen, die eigeninitiativ und gegebenenfalls ohne nähere Kenntnis der hinter der Interessenvertretung stehenden Organisation aktiv werden. Mit der damit einhergehenden Erweiterung des Kreises der Eintragungspflichtigen wird dem praktischen Bedürfnis Rechnung getragen, auch Personen, die nicht Beschäftigte der Organisation sind, einzubeziehen, wie ehrenamtlich mit Interessenvertretung beauftragte Mitglieder eines Vereins, Angehörige eines erweiterten Vorstands oder kooptierte Vorstandsmitglieder und möglicherweise Aufsichtsräte, soweit eine Betrauung mit Interessenvertretung nicht qua Funktion als Aufsichtsrat ausgeschlossen ist.

Bei den in diesem Zusammenhang zu nennenden natürlichen Personen ist zudem anzugeben, ob bei ihnen ein Mandat, ein Amt oder eine Funktion in Bundestag (z.B. Abgeordnete), Bundesregierung (z.B. Regierungsamt) oder Bundesverwaltung (z.B. Beschäftigungsverhältnis, auch Praktikantenverhältnisse o.ä.) aktuell besteht oder in den letzten fünf Jahren bestanden hat sowie ggf. den Zeitpunkt der Beendigung dieser Tätigkeit (Monat/Jahr). Auf diese Weise soll erstmals das Ausmaß des sog. „Drehtüreffekts“ im Bereich der Interessenvertretung öffentlich sichtbar gemacht werden. Gerade solche Personen sind in der Regel aufgrund der aktuellen oder vorangegangenen Tätigkeiten politisch sehr gut vernetzt und kennen regelmäßig in besonderem Maße die Mechanismen, die geeignet sind, erfolgreich Einfluss auf Gesetzgebungstätigkeiten oder Entscheidungen der Bundesregierung zu nehmen.

Erstmals inhaltliche Angaben zur Interessenvertretung

Ebenfalls neu sind die erforderlichen inhaltlichen Ausführungen mit dem Ziel, die Interessenvertretung noch transparenter zu gestalten. Diese beinhalten nicht nur eine konkrete Beschreibung der Tätigkeiten, die zum Zweck der Interessenvertretung ausgeübt werden, wie beispielsweise Gespräche mit Vertretern* des Bundeskanzleramtes und der Bundesministerien sowie mit Mitgliedern des Deutschen Bundestages und deren grobe Themenfelder (z.B. Beschäftigte, Fachkräftemangel, Ausbildung, Lieferketten, Nachhaltigkeit) oder parlamentarische Abende und Diskussionsveranstaltungen, zu denen Regierungsmitglieder, Abgeordnete sowie Vertreter der Ministerien eingeladen werden.

Vielmehr sind auch alle aktuellen, geplanten oder angestrebten Regelungsvorhaben (mit Drucksachennummer, sofern vorhanden) zu benennen, sofern sich die Interessenvertretung auf konkrete Vorschläge zur Änderung, Abschaffung oder Einführung rechtlicher Regelungen bezieht. Darüber hinaus ist zu jedem Regelungsvorhaben anzugeben, welche Interessen- oder Vorhabenbereiche betroffen sind und auf die Änderung welcher geltenden Gesetze sich die Interessenvertretung gegebenenfalls bezieht. Werden in diesem Zusammenhang grundlegende Stellungnahmen und Gutachten abgegeben, die nicht ohnehin allgemein zugänglich sind oder innerhalb formalisierter Beteiligungsverfahren (Gesetzgebungsverfahren, Ausschüsse) veröffentlicht werden, sind diese unter Angabe des Zeitpunkts der Abgabe und einer abstrakten Bezeichnung der Adressaten auf der Website des Lobbyregisters hochzuladen. Hierdurch soll die Öffentlichkeit besser nachvollziehen können, mit welchen Argumenten und Zielvorstellungen sich der Interessenvertreter an die Adressaten gewandt hat.

Umfassende und verpflichtende Angaben zu den Finanzen

Weitreichende Änderungen betreffen den Bereich der Finanzangaben. In diesem Zusammenhang sind nunmehr verpflichtend anzugeben:

• Beginn und Ende des laufenden sowie des letzten und des vorletzten abgelaufenen Geschäftsjahres (Tag genau);
• Anzahl der Beschäftigten im Bereich der Interessenvertretung in Vollzeitäquivalenten, d.h.die Summe der Arbeitsstunden der jeweiligen Beschäftigten im Bereich Interessenvertretung geteilt durch die Durchschnittliche Arbeitszeit eines Vollzeitarbeitsplatzes innerhalb der jeweiligen Organisation (Vollzeit, in Stunden);
• Hauptfinanzierungsquellen in absteigender Reihenfolge ihres Anteils an den Gesamteinnahmen;
• Jährliche finanzielle Aufwendungen im Bereich der Interessenvertretung in Stufen von jeweils EUR 10.000, zusätzlich zur Gesamtheit der innerhalb des jeweiligen Geschäftsjahres im Bereich der Interessenvertretung angefallenen Kosten und unterteilt in fünf Kostengruppen:
• Personalkosten
• Infrastrukturkosten
• Repräsentationskosten
• Kosten für externe Beratungs- und Unterstützungsleistungen
• Sonstige Kosten im Bereich der Interessenvertretung
• Alle Arten von Zuwendungen und Zuschüssen der deutschen öffentlichen Hand, der EU, ihrer Mitgliedstaaten oder von Drittstaaten, die den Gesamtwert von EUR 10.000 bezogen auf einen Zuwendungsgeber in einem Geschäftsjahr übersteigen;
• Gesamtsumme der Schenkungen und sonstigen lebzeitige Zuwendungen Dritter (auch Sponsoringleistungen!) in Stufen von EUR 10.000 und zusätzliche Angaben zu einzelnen Schenkungen, wenn sie den Gesamtwert von EUR 10.000 bezogen auf einen Geber in einem Geschäftsjahr und zusätzlich zehn Prozent bezogen auf die jährliche Gesamtsumme der Schenkungen und lebzeitigen Zuwendungen als Referenzgröße übersteigen;
• Gesamtsumme der Mitgliedsbeiträge im Geschäftsjahr in Stufen von EUR 10.000 und zusätzliche Angaben bei Beitragszahlern, deren Beiträge den Gesamtwert von EUR 10.000 in einem Geschäftsjahr und zugleich zehn Prozent bezogen auf die jährliche Gesamtsumme der Mitgliedsbeiträge als Referenzgröße überschreiten;
• Jahresabschluss oder Rechenschaftsbericht von juristischen Personen, Personengesellschaften und Einzelkaufleuten.

Die umfangreichen Finanzangaben, die neuerdings in manchen Bereichen erstmals verpflichtend sind, dienen mehrheitlich der Vereinfachung der Kontrollmöglichkeiten sowie der Angleichung an das EU-Transparenzregister, dem Lobbyregister auf EU-Ebene. Die Praxis hat sich in der Vergangenheit darüber beklagt, dass ohne eine verpflichtende Angabe zum jeweils maßgeblichen Geschäftsjahr, eine Kontrolle der Finanzangaben, insbesondere bezüglich der Einhaltung des Zeitpunkts der Aktualisierung, und eine damit gegebenenfalls einhergehende Verhängung von Bußgeldern nicht möglich ist. Mit den Kategorien der Hauptfinanzierungsquellen soll hingegen, wie im EU-Transparenzregister, auf einen Blick erkennbar werden, aus welchen Quellen sich der Interessenvertreter finanziert, sodass sich die Öffentlichkeit und die Adressaten ohne größere Recherche einen schnellen Überblick verschaffen können.

Die Wertgrenze für die Pflicht zur Angabe einer Zuwendung wurde im Gleichklang mit den nunmehr gesondert geregelten Schenkungen auf EUR 10.000 je Zuwendungsgeber und Geschäftsjahr abgesenkt. Die erforderlichen Angaben zu Schenkungen wurden in manchen Teilen an die Vorgaben des EU-Transparenzregisters angepasst, an anderer Stelle geht der Umfang der Einzelangaben – insbesondere die Angaben zur Gesamtsumme der Zuwendungen – über die Vorgaben des EU-Transparenzregisters hinaus. Auf diese Weise soll ein präziserer Eindruck ermöglicht werden, wie gerade nicht wirtschaftlich tätige Organisationen finanziell aufgestellt sind und ob die Finanzierung von einer Vielzahl von Zuwendungsgebern abhängt oder ob einzelne Geber hervorstechen und einen maßgeblichen Einfluss auf die Tätigkeit der Organisation ausüben können.

Lediglich singulär relevante Änderungen

Die neuerdings geforderte Angabe einer Hauptstadtrepräsentanz ist natürlich nur für diejenigen Unternehmen und Organisationen relevant, die über eine solche verfügen und deren Sitz nicht ohnehin Berlin ist. Gleiches gilt für die Aufschlüsselung der Mitgliederzahl nach natürlichen Personen sowie juristischen Personen, Personengesellschaften oder sonstigen Organisationen, die lediglich für mitgliedschaftlich organisierte Organisationen gilt.

Umfangreiche Angaben zu den Auftragsverhältnissen sind ebenfalls nur für den Fall relevant, dass nicht nur eigene Interessen wahrgenommen, sondern auch fremde Interessen im Auftrag vertreten werden. Hierdurch wird dem Umstand Rechnung getragen, dass diese Art der Interessenvertretung eine besondere Herausforderung für die Offenheit, Transparenz, Ehrlichkeit und Integrität der Lobbyarbeit darstellt.

Rechtzeitiges Tätigwerden geboten

Die Änderungen des LobbyRG stellen die Registrierungspflichtigen vor die Aufgabe, umfangreiche weitere Angaben in das Lobbyregister eintragen zu müssen. Anders als bislang besteht die Möglichkeit zur Verweigerung – gerade in Bezug auf Finanzangaben – nicht mehr. Dieser Umstand gepaart mit der empfindlichen Bußgeldbewehrung von Verstößen gegen die Eintragungspflicht sollte die betreffenden Unternehmen und Organisationen zum rechtzeitigen Tätigwerden motivieren. Gerade die bei den einzelnen Mitarbeitern abzufragenden Angaben nehmen erhebliche zeitliche Ressourcen in Anspruch und fast die Hälfte der Migrationsfrist ist bereits abgelaufen.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Reform des Lobbyregisters: Unternehmen müssen ihre Einträge überprüfen  erschien zuerst auf CMS Blog.

Bereits im letzten Jahr haben wir über das neue deutsche Energieeffizienzgesetz berichtet. Dieses Gesetz verpflichtet Betreiber von Rechenzentren, u.a. jährlich bestimmte Informationen zum Energieverbrauch, zum Anteil erneuerbarer Energien am Stromverbrauch, zur Energieverbraucheffektivität etc. zu veröffentlichen und an eine nationale Datenbank zu melden.

EU-Kommission hat die Berichtspflichten in Energieeffizienzrichtlinie erweitert

Nun hat die EU-Kommission die Berichtspflichten nochmals erweitert und konkretisiert:

Im Rahmen der Neufassung der EU-Energieeffizienzrichtlinie (EU) 2023/1791 haben EU-Parlament und Rat in Art. 12 sowie Anhang VII der Richtlinie festgelegt, dass die Mitgliedsstaaten die Eigentümer und Betreiber von Rechenzentren mit einem Strombedarf der installierten Informationstechnologie von mindestens 500 kW zur Veröffentlichung verschiedener Informationen mit Nachhaltigkeitsbezug verpflichten müssen. 

Die dort gemachten Vorgaben und der Inhalt der Veröffentlichungspflichten waren bisher relativ abstrakt formuliert. Zugleich haben sie der EU-Kommission die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um ein gemeinsames Unionssystem für die Bewertung der Nachhaltigkeit von Rechenzentren und dabei auch die Nachhaltigkeitsindikatoren sowie die zu ihrer Berechnung heranzuziehenden Leistungsindikatoren und die Methode zu ihrer Messung festzulegen. Die EU-Kommission hat von dieser Befugnis mit der Annahme der delegierten Verordnung C/2024/1639 vom 14. März 2024 Gebrauch gemacht. Die delegierte Verordnung ist bisher noch nicht im Amtsblatt verkündet und damit noch nicht in Kraft getreten. Derzeit läuft eine zweimonatige Prüfphase, innerhalb der das Parlament und der Rat noch Einwände gegen die delegierte Verordnung erheben können. Die nachfolgenden Ausführungen stehen entsprechend unter dem Vorbehalt, dass die delegierte Verordnung C/2024/1639 bisher nur von der Kommission angenommen, aber noch nicht in Kraft getreten ist.

Welche Informationen müssen Rechenzentrumsbetreiber zukünftig (zusätzlich) veröffentlichen?

Betreiber von Rechenzentren in der Europäischen Union mit einem Leistungsbedarf der installierten Informationstechnologie von mindestens 500kW sind zukünftig verpflichtet, an eine von der Kommission bereitgestellte Europäische Datenbank bestimmte Informationen über ihre jeweiligen Rechenzentren zu melden. Diese Informationen sind in den Anhängen der delegierten Verordnung genauer definiert. Betroffen sind alle Arten von Rechenzentren, unabhängig davon, ob es sich um ein Unternehmensrechenzentrum, ein Co-Location Rechenzentrum oder ein Co-Hosting Rechenzentrum handelt.

Die Meldepflicht umfasst unter anderem Informationen über das meldende Rechenzentrum selbst (z.B. Name, Standort, Eigentümer/Betreiber, Art des Rechenzentrums etc.) sowie dessen Betrieb (Redundanz-Level der elektrischen sowie der Kühlinfrastruktur). 

Kern der Meldepflichten sind jedoch verschiedene, von den Rechenzentrumsbetreibern zu überwachende sowie nach genauen Vorgaben zu messende wesentliche Leistungsindikatoren, die sich aus Anhang II der delegierten Verordnung ergeben. Zu melden sind insgesamt 24 einzelne Leistungsindikatoren, die sich zunächst thematisch den drei Blöcken Energie und Nachhaltigkeit, Informations- und Kommunikationstechnologie sowie Datenverkehr zuordnen lassen.

Im Bereich Energie- und Nachhaltigkeit sind neben verschiedenen Angaben zu Flächengrößen unter anderem auch detaillierte Angaben zu Energiebedarf und -verbräuchen, Gesamtwasser- und Trinkwasserverbrauch, Abwärme und Abwärmenutzung, Kühlung und Nutzung von erneuerbaren Energien zu machen. Teilweise enthält Anhang II der delegierten Verordnung dabei auch konkrete Vorgaben, wo die jeweiligen Leistungsindikatoren zu messen sind.

Daneben sind Informationen zu Server- und Speicherkapazitäten sowie zur Bandbreite und Menge des Datenverkehrs zu veröffentlichen.

Die Meldungen haben zunächst bis zum 15. September 2024, sodann bis zum 15. Mai 2025 und danach jährlich zu erfolgen. Die Meldung hat primär über etwaige diesbezüglich eingerichtete Meldesysteme der Mitgliedsstaaten zu erfolgen. Nur wenn solche Systeme nicht existieren, soll die Meldung direkt an die Datenbank der EU erfolgen. Die so erhobenen Leistungsindikatoren werden auf Ebene der Europäischen Union sowie auf Ebene der Mitgliedsstaaten veröffentlicht.

Aus den so erhobenen Leistungsindikatoren werden dann u.a. Kennzahlen zur eingesetzten Energie (Power Usage Effectiveness, PUE), zur Effizienz der Wassernutzung (Water Usage Effectiveness, WUE), zum Anteil der wiederverwendeten Energie (Energy Reuse Factor, ERF) sowie zum Anteil erneuerbarer Energien (Renewable Energy Factor, REF) berechnet. Diese werden als Nachhaltigkeitsindikatoren ebenfalls veröffentlicht.

Veröffentlichungspflichten bestehen auch schon nach dem EnEfG

Soweit nichts neues, möchte man auf den ersten Blick konstatieren, wurden Veröffentlichungspflichten mit Nachhaltigkeitsbezug auf nationaler Ebene doch bereits im letzten Jahr mit dem Energieeffizienzgesetz, insbesondere § 13 EnEfG i.V.m. Anlage 3 zum EnEfG eingeführt. Doch so einfach ist die Sache nicht.

Bei genauerer Betrachtung zeigt sich, dass der Umfang der nun von der Europäischen Kommission in der delegierten Verordnung konkretisierten Veröffentlichungspflichten – insbesondere die erhobenen Leistungsindikatoren – in erheblichem Maße über die nationalen Veröffentlichungspflichten hinausgeht. Anders ausgedrückt: Auf nationaler Ebene wird nur ein kleiner Teil der Informationen abgefragt, die von der Europäischen Kommission erhoben werden.

Da auf nationaler Ebene nur ein kleiner Teil der von der EU geforderten Leistungsindikatoren zu melden sind, stellt sich die Frage, ob auf nationaler Ebene zukünftig von den Betreibern zwei gesonderte Erklärungen – einmal nach dem EnEfG und einmal nach Unionsrecht – gefordert werden kann, oder ob die Abgabe einer einheitlichen Erklärung ausreichend ist, aus der dann die jeweils notwendigen Daten für die nationale Datenbank bzw. für die Unionsdatenbank entnommen werden können.

Dabei ist darauf hinzuweisen, dass jüngst jedenfalls das Bundesministerium für Wirtschaft und Klimaschutz die im Energieeffizienzgesetz genannte erste Meldefrist zum 15. Mai 2024 unter Verweis auf Verzögerungen beim Erlass der delegierten Verordnung der EU-Kommission für drei Monate ausgesetzt hat.

Neue (europäische) Veröffentlichungspflichten nur ein erster Schritt zur weiteren Regulierung von Rechenzentren unter Nachhaltigkeitsaspekten

Rechenzentren verbrauchten 2018 insgesamt 76,8 TWh Energie bzw. 2,7 % des Gesamtenergiebedarfes in der EU; die Kommission geht davon aus, dass dieser Wert bis 2030 mindestens auf 98,5 TWh im Jahr bzw. 3,21 % am Gesamtenergiebedarf ansteigen wird. Insbesondere neue Technologien, wie autonomes Fahren und KI erfordern immer größere Rechenkapazitäten. Es ist daher kaum verwunderlich, dass die Europäische Kommission auf dem Weg zur Klimaneutralität 2050 auch die Rechenzentrumsbetreiber verstärkt in den Blick nimmt.

Art. 12 (5) der Energieeffizienzrichtlinie (EU) 2023/1791 verpflichtet die Europäische Kommission, bis zum 15. Mai 2025 die übermittelten, verfügbaren Daten auszuwerten und dem Europäischen Parlament und dem Rat einen Bericht sowie ggf. Gesetzgebungsvorschläge mit weiteren Maßnahmen zur Verbesserung der Energieeffizienz von Rechenzentren vorzulegen. Dabei soll u.a. auch ein Vorschlag zur Festlegung von Mindestleistungsstandards erfolgen. Langfristige Zielvorgabe ist dabei für den Rechenzentrumssektor ein Übergang zu Netto-Null-Emissionen. 

Betreiber und auch Entwickler von Rechenzentren können sich daher sicher darauf einstellen, dass die nationalen Vorgaben zur Nachhaltigkeit bzw. Energieeffizienz von Rechenzentren in den nächsten Jahren durch Europäische Regulierungsvorgaben ergänzt werden, um das Ziel eines klimaneutralen Kontinents bis 2050 zu erreichen. Dies wird zu weiterem Aufwand für die Betreiber von Rechenzentren führen.

Mit dem EU Action Plan „Digitalisierung des Energiesystems“ möchte die EU-Kommission zum Erreichen der Klimaziele und zu einer digitalen und ressourceneffizienten Gesellschaft beitragen. In unserer Blog-Serie „Energy goes digital„ gehen wir auf die einzelnen Inhalte des Action Plan sowie auf weitere Themen der Digitalisierung des Energiesystems ein. Bereits online sind neben dem in die Blog-Serie einführenden Beitrag, Beiträge zum Energieeffizienzgesetz-Entwurf und zu Smart Meter.

Der Beitrag Konkretisierung der Europäischen Veröffentlichungspflichten für Rechenzentren erschien zuerst auf CMS Blog.

Das Europäische Parlament hat am 13. März 2024 die „Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz“ (KI-VO) verabschiedet. Nach Feinschliff durch den juristischen Dienst ist der Gesetzgebungsprozess im Europäischen Parlament mit Annahme des sog. „Korrigendums“ am 23. April 2024 abgeschlossen worden. Als letzter formeller Schritt muss nun noch der Rat der Europäischen Union zustimmen, da aber eine politische Einigung bereits seit dem Dezember 2023 vorliegt, ist davon auszugehen, dass die KI-VO in der nun vorliegenden Form im Laufe des Frühsommers 2024 in Kraft treten wird.

Die KI-VO wird als europäische Verordnung unmittelbar in allen 27 Mitgliedstaaten gelten und soll einen wesentlichen Beitrag zur Erreichung der europäischen Digitalstrategie (A Europe fit for the digital age) leisten. 

Bereits am 24. Januar 2024 – also noch vor der Verabschiedung der KI-VO durch das Europäischen Parlament – wurde das Europäische Amt für Künstliche Intelligenz (EU AI Office) durch Beschluss der Kommission(Gründungsbeschluss) gegründet. 

Das EU AI Office wird eine Reihe von zentralen Aufgaben im Rahmen der KI-Strategie der EU wahrnehmen und soll Zentrum der KI-Expertise der EU werden. Von besonderer Bedeutung ist dabei die Zuständigkeit des EU AI Office für die Regulierung von KI-Modellen mit allgemeinem Verwendungszweck (GPAI-Modelle) und KI-Systemen, die auf einem GPAI-Modell basieren und von demselben Anbieter entwickelt wurden. Darüber hinaus wird das EU AI Office eine wichtige Rolle beim Erlass von KI-Verhaltenskodizes, technischen Vorschriften und Standards spielen. 

EU AI Office als Teil der EU-Kommission 

Organisatorisch ist das EU AI Office Teil der Verwaltungsstruktur der Generaldirektion Kommunikationsnetze, Inhalte und Technologien (DG Connect) der Europäischen Kommission, wobei die Finanzierung des EU AI Office aus dem Förderprogramm „Digitales Europa“ erfolgen wird. Das EU AI Office soll mit zunächst bis zu 100 Mitarbeitern* ausgestattet werden. Hierfür werden derzeit intern wie extern neben Juristen* und Experten* für Digitalpolitik auch explizit KI-Ingenieure* gesucht.

EU AI Office ist zuständig für die Durchsetzung der GPAI-Vorschriften 

Die endgültige KI-VO enthält Regelungen, die im ursprünglichen Vorschlag der Europäischen Kommission vom April 2021 nicht enthalten waren. Dazu gehören Vorschriften für GPAI-Modelle und KI-Systeme, die auf einem GPAI-Modell basieren, sowie eine Governance-Struktur zur Überwachung dieser Vorschriften. 

Zentrales Element dieser Governance-Struktur ist das EU AI Office, das als Marktüberwachungsbehörde für GPAI-Modelle und KI-Systeme, die auf einem GPAI-Modell basieren und von demselben Anbieter entwickelt wurden, fungiert. Die Überwachung der übrigen nach der KI-VO regulierten KI-Systeme obliegt dagegen den nationalen Marktüberwachungsbehörden. 

Bei der Durchsetzung der Vorschriften über GPAI-Modelle ist das EU AI Office – im Unterschied zu den für die Marktüberwachung und Kontrolle von KI-Systemen auf dem Unionsmarkt zuständigen nationalen Behörden – nicht auf die in der Verordnung (EU) 2019/1020 („EU-Marküberwachungsverordnung“) vorgesehenen Maßnahmen beschränkt. Vielmehr stellt Artikel 89 Abs. 1 KI-VO klar, dass das EU AI Office zur Durchsetzung der GPAI-Model Vorschriften „die erforderlichen Maßnahmen“ treffen kann. 

Es ist deshalb auch möglich dass das EU AI Office über die Marktüberwachung hinaus Maßnahmen wie z.B. kartellrechtliche Untersuchungen durchführt und hierbei nach Artikel 5 des Gründungsbeschlusses mit der Generaldirektion Wettbewerb zusammenarbeitet. 

Hinsichtlich der Durchsetzung von Vorschriften für KI-Systeme, die auf einem GPAI-Modell basieren, ist das EU AI Office hingegen nach Art. 75 Abs. 1 KI-VO auf die Befugnisse einer Marktüberwachungsbehörde im Sinne der EU-Marküberwachungsverordnung beschränkt. 

Die Verhängung von Geldbußen (bei Verstößen gegen die GPAI-Vorschriften der KI-VO bis zu 3% des weltweiten Vorjahresumsatzes oder 15 Mio. EUR) erfolgt zwar nach Art. 101 Abs. 1 KI-VO durch „die Kommission“ und das genaue Verfahren ist noch durch einen Durchführungsrechtsakt näher auszugestalten. Naheliegend ist es aber, dass dem EU AI Office hier eine besondere Rolle im Sinne einer Vollzugsbehörde zukommen wird. Dies entspricht organisatorisch einer Ausgestaltet wie sie bereits heute, etwa in der Generaldirektion Wettbewerb oder der Generaldirektion Handel vorhanden ist. 

Die Prioritäten des EU AI Office werden durch in den ersten Monaten nach Inkrafttreten der KI-VO durch deren ambitionierten Zeitplan bestimmt sein. Der Schwerpunkt wird daher zunächst auf der Unterstützung der Europäischen Kommission bei der Erarbeitung der insgesamt 84 Begleitmaßnahmen zur KI-Verordnung (wie etwa Leitlinien, Verhaltenskodizes und Durchführungsrechtsakte) liegen. 

Abgrenzung der Zuständigkeit von nationalen Behörden 

Für Durchsetzungsmaßnahmen in Bezug auf KI-Systeme, bei denen es sich nicht um GPAI-Modelle handelt oder die nicht unmittelbar vom Anbieter selbst aus GPAI-Modellen entwickelt wurden, sind die nationalen Behörden der Mitgliedstaaten zuständig. Wie aus Erwägungsgrund 7 des Gründungsbeschlusses hervorgeht, werden diese Zuständigkeiten durch die Errichtung des EU AI Office nicht berührt.

Die für die Durchsetzung der KI-VO zuständigen nationalen Behörden müssen innerhalb von zwölf Monaten ab Inkrafttreten der KI-VO benannt werden. Art und Umfang der Durchsetzungsmaßnahmen bestimmen sich hierbei gemäß Artikel 74 Abs. 1 KI-VO im Wesentlichen nach der Verordnung EU-Marküberwachungsverordnung.

Wie die Durchsetzung der KI-VO auf Ebene der Mitgliedstaaten administrativ organisiert wird, bleibt den Mitgliedstaaten überlassen. So können diese hierfür eine neue Behörde einrichten oder eine bestehende Behörde um eine KI-Amt erweitern. Während Spanien beispielsweise mit der Agencia Española de Supervisión de la Inteligencia Artificial eine eigenständige Behörde ins Leben gerufen hat, setzt Österreich mit der KI-Servicestelle auf eine der Rundfunk- und Telekom Regulierungs-GmbH nachgeordnete Stelle. 

Deutschland hat – wie viele andere Mitgliedstaaten – bisher noch keine Behörde benannt. Allerdings hat die Bundesregierung in einer Antwort auf eine kleine Anfrage. angekündigt, zu diesem Zweck einen Entwurf für ein Durchführungsgesetz zur KI-VO in den Bundestag einzubringen.

Mitwirkung bei der Standardisierung und dem Erlass technischer Vorschriften 

Gemäß dem Gründungsbeschluss hat das EU AI Office eine unterstützende Funktion bei der Entwicklung technischer Normen und Standards für KI-Systeme. Im Wesentlichen soll es die Europäische Kommission bei der Ausarbeitung von Normungsaufträgen, der Überprüfung bestehender Normen und der Entwicklung gemeinsamer Spezifikationen unterstützen, die für die Umsetzung der KI-VO erforderlich sind. 

Ferner ist das EU AI Office befugt, auf Anfrage der Europäischen Kommission oder auf eigene Initiative Empfehlungen und schriftliche Stellungnahmen zu allen relevanten Aspekten im Zusammenhang mit der Umsetzung der KI-VO und ihrer kohärenten und effektiven Anwendung abzugeben. Dies umfasst technische Spezifikationen und die Überprüfung bestehender Normen im Hinblick auf die Anforderungen der KI-VO sowie die Verwendung harmonisierter Normen oder gemeinsamer Spezifikationen im Rahmen des Normungsmandats der Standardisierungsorganisationen CEN und CENELEC.

Weitere Aufgaben des EU AI Office 

Neben der oben geschilderten Funktion als Marktüberwachungsbehörde mit weitreichenden Durchsetzungskompetenz, kommen dem EU AI Office auch Aufgaben im Bereich der Innovationsförderung zu. So soll das EU AI Office als „Zentrum der KI-Expertise in der gesamten EU“ fungieren und hierfür unter anderem mit nationalen, europäischen und internationalen Organisationen zusammenarbeiten. 

Zudem überwacht des EU AI Office den KI-Pakt, eine Initiative, die es Unternehmen ermöglicht, mit der Kommission und anderen Interessengruppen zusammenzuarbeiten, bevor die KI-VO in Kraft tritt. 

Weiteren Aufgaben des EU AI Office umfassen die Entwicklung von „Verhaltenskodizes“ und die Unterstützung der Europäischen Kommission bei der Ausarbeitung von Durchführungsrechtsakten und delegierten Rechtsakten zur Umsetzung der KI-VO.

EU AI Office hat weitreichende Kompetenzen bei der Durchsetzung der KI-VO 

Mit der Einrichtung des EU AI Office hat die Kommission eine Behörde mit weitreichenden Kompetenzen zur Durchsetzung der GPAI-Bestimmungen nach der KI-VO geschaffen. Durch die Zuweisung der Durchsetzung der Vorschriften für andere KI-Systeme an nationale Behörden, entwickelt die EU eine duale Struktur für die Durchsetzung der KI-VO. 

Mit der Durchsetzung der GPAI-Bestimmungen durch das EU AI Office obliegt der Europäischen Kommission hierbei die Durchsetzung des „regulatorischen Herzstücks“ der KI-VO. Durch die Vielzahl weiterer Aufgaben des EU AI Office – sei es im Rahmen der KI-Innovationsförderung oder der Ausgestaltung der in der KI-VO Verhaltenskodizes- behält sich die EU-Kommission zudem die weitere Steuerung der europäischen KI-Kompetenz vor. 

In unserem CMS-Blog halten wir Sie mit unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend zu diesem Thema auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wie: EU-Parlament: Grünes Licht für die KI-VO; Mithilfe Künstlicher Intelligenz plötzlich Urheber?; Robo Advisor als Zukunft der Geldanlage; Künstliche Intelligenz und der Journalismus der Zukunft; Wettbewerbsrechtliche Zulässigkeit von KI-gestützter Werbung. Sehen Sie zudem gern: Eigene KI-Sprachmodelle von Unternehmen (cms.law).

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

Unseren englischsprachigen Ausblick auf die KI-VO finden Sie hier: Looking ahead to the EU AI Act (cms.law).

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Durchsetzung der KI-VO auf europäischer Ebene: Das EU AI Office erschien zuerst auf CMS Blog.

Eine Auseinandersetzung mit Compliance gehört für große und mittelständische Unternehmen schon seit einigen Jahren zur Tagesordnung. Die zu Anfang etwas unscharf erscheinende Begrifflichkeit (aus dem Englischen „to comply with“ – etwas einhalten) hat mittlerweile sowohl einen fortschreitenden rechtlichen Rahmen bekommen als auch ihren Weg in die öffentliche Aufmerksamkeit gefunden, wo sie firmierend als soziale Verantwortung von Unternehmen (Corporate Social Responsibility) als mitunter scharfes Schwert in Reputations- und Haftungsfragen ihre Auswirkungen zeigt. Die in der Compliance verankerten Legalitäts- (Einhaltung der geltenden Normen) und Legalitätskontrollpflichten (Überprüfung der Einhaltung der geltenden Normen) beabsichtigen zuvorderst, wirtschaftskriminelle Handlungen zu verhindern und Gesellschaft sowie Umwelt zu schützen, gleichsam jedoch auch die Haftung von Unternehmen und ihren Leitungspersönlichkeiten zu minimieren.

Compliance-Themen haben durch zunehmende nationale sowie internationale Regulierung an Fahrt aufgenommen. Zu nennen sind hier jüngste Entwicklungen wie das Hinweisgeberschutzgesetz, das Lieferkettensorgfaltspflichtengesetz, die Corporate Sustainability Reporting Directive (Richtlinie (EU) 2022/2464) und der neue Kompromissvorschlag einer Geldwäscheverordnung und sechsten Geldwäscherichtlinie der EU. Gleichzeitig häufen sich Berichterstattungen über rufschädigende und kostspielige Skandale im Sportbereich, so etwa bezüglich Korruption (jüngst um den Ex-Fußballboss Luis Rubiales), Doping (Eiskunstlauf bei Olympia), Wettbetrug und Spielmanipulation (Sportwetten in Griechenland), Vergabe von Sportereignissen (Austragung der Fußball-WM in Katar) und unethischem Verhalten von Trainer:innen und Fans (Rassismus- und Sexismusvorwürfe im spanischen Fußball). Bei einem Compliance-Verstoß drohen nicht nur zivil- und strafrechtliche Konsequenzen, sondern insbesondere auch massive Reputationsschäden durch Negativschlagzeilen in der Presse, die sich auf die wirtschaftliche Lage des Sportclubs auswirken.

Anlässlich der im Juni beginnenden Fußball-Europameisterschaft EURO 2024 lohnt sich daher der Blick auf den Profisport und die Frage, inwieweit auch die Sportwelt die Compliance als feste Mitspielerin für unternehmerische Erfolge und ein gelebtes Fair Play außerhalb des eigentlichen Spielfeldes aufstellen sollte.

Compliance relevante Risikofelder im Profisport

Als Startpunkt jeder Compliance-Überlegung steht die Identifizierung mitunter einer Bandbreite an Gesetzen, Richtlinien und sonstigen regulatorischen Normen, die eine Regeltreue verlangen. Neben den allgemeinen Gesetzen des Straf-, Steuer- oder Gesellschaftsrechtes existieren spezifische Sportregulierungen wie die DFL-, UEFA- oder FIFA-Vorgaben. Aus diesen und vielen weiteren Regulatorien ergeben sich im Profisport zahlreiche Legalitäts- und insbesondere Legalitätskontrollpflichten für die Unternehmen als solche, aber auch für ihre Funktionär:innen, Sportler:innen, Aktionär:innen, Agent:innen, Mitarbeiter:innen, Sponsor:innen und auch die Fans.

Das Herzstück der Compliance bildet die Feststellung von bestehenden individuellen Risikosphären der jeweiligen Branche. Im Profisport zählen zu Risikoclustern mit Compliance-Relevanz unter anderem:

• Geldwäsche durch Investitionen in Vereine und Sportler:innen
• Sponsoring und Hospitality
• Intransparente Vergabe von Sportereignissen und Tickets
• Korruption von Sportfunktionär:innen
• Wettbetrug und Spielmanipulation
• Doping und Gesundheitsschutz
• Kartellrechtliche Vorschriften und die 50+1-Regel
• Ausstrahlwirkung durch unethisches (Dritt-)Verhalten

Als besonders sensitiven Aspekt dieser Aufzählung verhält sich unter anderem das Geldwäscherisiko für Profisportunternehmen. Schon 2007 wurde im „Weißbuch Sport“ der EU-Kommission auf das Geldwäscherisiko im Sportsektor hingewiesen. Während auf deutscher Ebene noch über eine Aufnahme von Profisportvereinen in den Kreis der Verpflichteten nach dem Geldwäschegesetz diskutiert wird (siehe BT-Drcks. 32/22), erkennt das in diesem Jahr vorgestellte geplante Anti-Geldwäsche-Paket der EU ein hohes Risiko insbesondere im Fußball und erweitert die Liste der Verpflichteten um Profifußballvereine und ihre Agent:innen. Als Folge einer solchen Verpflichtung ergeben sich konkrete Compliance-Pflichten zur Etablierung einer Geldwäscheprävention. Dies gilt insbesondere bei Beteiligungen und Investitionen in die Vereine selbst als auch bei dem Transfermarkt von Spieler:innen, die häufig von Intransparenz in Bezug auf Zahlungsströme und Finanzierungsquellen geprägt sind. Weitere Geldwäscheprobleme bergen etwa auch das Sponsoring, der Ticketverkauf und die fortschreitende Kommerzialisierung des Profisports.

Neben dem Geldwäscherisiko stellen etwa auch Korruption und Schmiergeldzahlungen im Profisport, etwa bei der Vergabe von großen Sportevents, beim Sponsoring oder Ticketverkauf, wichtige Compliance-Risikofelder dar. Mit Blick auf die 2017 in Kraft getretenen strafrechtlichen Regelungen zu Sportwetten und Spielmanipulation in §§ 265c, 265d StGB wird, neben den klassischen Korruptionstatbeständen wie §§ 299, 331 ff. StGB, zudem sowohl korruptes Verhalten von Sportler:innen und Trainer:innen kriminalisiert, als auch durch §§ 30, 130 OWiG ein weiteres erhebliches Haftungsrisiko (Geldbuße von bis zu EUR 10 Mio.) für Profisportclubs geschaffen.

Etablierung von Compliance-Management-Systemen in Profisportclubs

Die Sportclubs nehmen typischerweise als Vereine, Dachverbände aber auch zunehmend als gewinnorientierte Kapitalgesellschaften am wirtschaftlichen Wettbewerb teil. Durch die fortschreitende Kommerzialisierung der Sportclubs werden im Profisport mittlerweile Millionenumsätze erwirtschaftet und Strukturen geschaffen, welche mit Großkonzernen und mittelständischen Unternehmen ohne Weiteres vergleichbar sind. Gleichzeitig existieren, wie soeben gezeigt, einige massive Risikocluster und Compliance sensitive Vorgänge im Profisport. Ebenso wie die übrigen Großkonzerne und mittelständischen Unternehmen wären die Profisportunternehmen – wie der FC St. Pauli bereits erkannt hat – daher gut beraten, ein funktionsfähiges Compliance-Management-System (CMS) aufzubauen.

Zwar existiert bislang im deutschen Recht keine flächendeckende explizite Pflicht zur Einrichtung eines solchen CMS in Sportclubs. Unumstritten besteht jedoch eine Organhaftung für Compliance-Verstöße, wobei die genauen Haftungsketten in Abhängigkeit zu der jeweiligen Rechtsform des Unternehmens stehen. In jedem Fall sind die jeweiligen Leitungspersonen aufgrund ihrer allgemeinen Pflicht zur ordnungsgemäßen Geschäftsführung de facto dazu angehalten, die Legalitäts- und insbesondere auch die Legalitätskontrollpflichten einzuhalten. Eine unterlassene Implementierung eines CMS kann dabei auch zu einer persönlichen Haftung der Leitungspersonen führen.

Ziel eines CMS ist primär präventiver Natur, da es als Abwehr drohender Haftungs- und Sanktionierungsrisiken sowie Reputationsschäden fungiert. Zugleich kann ein etabliertes CMS durch eine effektive Risikoanalyse Compliance-Verstößen zuvorkommen. Der wirtschaftlichen Ansehnlichkeit und dem Profit eines Unternehmens dient es zunehmend auch, soziale und ökologische Wertvorstellungen im Geiste einer Good Governance und Corporate Social Responsibility zu implementieren, welche an positivem politischen und gesellschaftlichen Einfluss, Gesundheit, ethischem Verhalten, Transparenz und Nachhaltigkeit (ESG) interessiert sind.

Während, wie eben gesehen, regelmäßig eine Pflicht für das „Ob“ der Etablierung eines CMS, besteht, ermöglicht das „Wie“ eine breitere Diskussionsfläche. Die Ausgestaltung eines CMS ist regelmäßig abhängig von der genauen Tätigkeit des Unternehmens, den Risikofeldern, seiner Rechtsform und seiner Größe. Grundsätzlich wird ein CMS in vier Bestandteile eines zusammenhängenden Prozesses gegliedert. Im ersten Schritt werden die vorhandenen Organisationsstrukturen des Sportunternehmens, im zweiten Schritt die individuellen Risikocluster analysiert. Auf Grundlage dessen können konkrete Präventionsmaßnahmen, beispielsweise in Gestalt von selbstgesetzten Compliance-Richtlinien und Verhaltenskodizes (Code of Conducts) – wie etwa das Compliance-Handbuch der FIFA oder der Ethik-Kodex des DFB – entwickelt werden. An dritter Stelle werden klare Verantwortlichkeiten für die herausgearbeiteten Risikobereiche geschaffen und die Durchführung des CMS an verantwortliche Personen (Compliance Officer oder Compliance-Beauftragte) delegiert. Zuletzt müssen sämtliche Maßnahmen durch die zuständigen Leitungspersonen dokumentiert, kontrolliert und stetig verbessert werden.

Weitere sinnvolle konkrete Compliance-Maßnahmen im Profisport

Allein die Implementierung von Richtlinien und Kodizes wird nicht genügen, um Compliance-Verstöße im Profisport vorzubeugen. Mitarbeiter:innen, Sportler:innen, Funktionär:innen und sonstige Verpflichtete sind regelmäßig über ihre Pflichten etwa im Bereich der Annahme von Geschenken, den Konsequenzen von Doping-Verstößen und unethischem Verhalten zu schulen.

Zudem sind Sportunternehmen mit mindestens 50 Mitarbeitenden durch das neue Hinweisgeberschutzgesetz seit dem 17. Dezember 2023 u.a. dazu verpflichtet, Hinweisgebersysteme zu installieren, die eine anonyme, niedrigschwellige und vertrauliche Meldung von bestimmten Compliance-Verstößen gewährleistet. Anderenfalls droht ein Bußgeld von bis zu EUR 50.000.

Soweit Sportunternehmen zukünftig als Verpflichtete nach dem Geldwäschegesetz eingestuft werden, müssen sie geldwäscherechtliche Sorgfaltspflichten erfüllen und Meldepflichten bei Verdachtsfällen beachten.

Maßgeblich sollte sich der Profisport eine zunehmende Transparenzschaffung auf die Fahne schreiben. Gerüchte über „Klüngelei“, Abhängigkeiten, Stimmenkäufe oder anderweitige Bestechungshandlungen stehen im Profisport seit Jahren im Raum. Ein konkretes Positivbeispiel bildet hingegen die DFB-Vergabe der Spielorte für die EURO 2024, bei welcher der Auswahlprozess durch den Aufbau eines Compliance-Programms von Transparency International begleitet wurde.

Auch bei der Ticketvergabe vor allem von Großevents sollten klare Maßgaben festgelegt und nach außen hin kommuniziert werden. Profisportunternehmen sind zudem gut beraten, ihre Geschäftspartner einem Business-Partner-Check zu unterziehen und vorab die Konformität mit dem eigenen CMS zu überprüfen.

Im Hinblick auf die sportspezifischen Risiken von Wettbetrug, Spielmanipulation und Doping müssen die Sportclubs darüber hinaus eine klare Zero Tolerance-Haltung kommunizieren und vor allem aktiv betreiben.

Compliance als Teamplayerin: Fazit und Ausblick

Der Fair Play-Gedanke ist schon auf dem Spielfeld konstituierend für den Profisport. Der Sport lebt von einem von Fairness, Regelkonformität und Integrität geprägtem Verhalten aller Beteiligten. Nichts anderes kann außerhalb des Spielfeldes für die großen Vereine, Verbände und Kapitalgesellschaften des Profisports gelten. Diese müssen sich – wie ihre Sportler:innen untereinander – mit ihrem eigenen wirtschaftlichen Wettbewerb, den Großkonzernen und mittelständischen Unternehmen, gleich welcher Branche, messen lassen. Gewinnen kann auch hier – wie die oben angeschnittenen Nachteile bei unlauteren Geschäftspraktiken gezeigt haben – nur ein ganzheitliches Fair Play.

Unsere Gesellschaft und unser Rechtssystem fordern mittlerweile zurecht von den millionenschweren Wirtschaftsunternehmen, Good Governance nicht nur zu behaupten (siehe Green-, Pink- und Bluewashing-Fragen), sondern dies auch konsequent zu leben, hierfür einzustehen und proaktiv durchzusetzen. Dazu zählt fraglos auch die Beschäftigung mit Compliance und eine Implementierung von konkreten Compliance-Maßnahmen im Unternehmen. Profitieren können hierdurch nicht nur die Gesellschaft und unsere Umwelt, sondern auch die Unternehmen durch ersparte Kosten, die Aktionär:innen durch ersparte Verluste, die Leitungspersönlichkeiten durch minimierte Haftung und die Fans durch gesteigerte Identifizierungsmöglichkeiten mit ihrem Verein.

Perspektivisch wird dieser „Trend“ zu nachhaltiger, integrer und ethischer Unternehmensführung auch in der Profisportwelt durch fortschreitende Regulierungen, weitere höchstgerichtliche Entscheidungen und zunehmenden gesellschaftlichen Fokus weiter an Relevanz gewinnen. Aus diesem Grund widmet sich die diesem Beitrag folgende Blog-Serie „Fußball-EM & Recht“ vertieft diversen, konkreten Compliance-Themen rund um den Profisport im Allgemeinen und die Fußball-EM im Speziellen. Bleiben Sie am Ball!

Der Beitrag Fair Play gewinnt – Compliance im Profisport erschien zuerst auf CMS Blog.

Mit dem neuen Datenrecht möchte die Europäische Union (EU) einen europäischen Binnenmarkt für Daten schaffen, den Wettbewerb rund um datengetriebene Geschäftsmodelle öffnen und in dem Zuge Anbieterwechsel für Kunden* erleichtern, nachdem Versuche der Selbstregulierung durch die Industrie nicht zum gewünschten Erfolg geführt haben. Zu der Digitalisierungs- und der Datenstrategie der EU gehören daher auch die Erleichterung des Wechsels eines Cloud-Service-Providers (CSP), die Verbesserung der Markteintrittschancen für neue Anbieter sowie die schrittweise Abschaffung von Datenübertragungskosten. Am 11. Januar 2024 ist als wichtige Säule der Digitalisierungs- und der Datenstrategie der Data Act (Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung, DA) in Kraft getreten. Der DA wird nach einer Übergangsfrist von 20 Monaten ab dem 12. September 2025 unionsweit anwendbar sein. 

Neben neuen Datenzugangsansprüchen und einem eigenständigen Vertragsrecht stellt der DA neue Anforderungen an CSP u.a. hinsichtlich Informationspflichten und Vertragsgestaltung, die wir in diesem Beitrag unserer CMS Blog-Serie „#CMSdatalaw“ beleuchten wollen. 

Kapitel VI des DA: Erleichterung des CSP-Wechsels und der Parallelnutzung

Der DA soll mit seinen Regelungen insb. in Kapitel VI („Wechsel zwischen Datenverarbeitungsdiensten“, Art. 23 bis 31 DA) zum Abbau von Hindernissen beitragen, denen sich Kunden, die den Anbieter wechseln möchten, ausgesetzt sehen, und einen Übergang von einem Datenverarbeitungsdienst auf den anderen erleichtern (vgl. EG 79 des DA). Solche Hindernisse können z.B. aufgrund fehlender offener Schnittstellen, unzureichender Interoperabilität und fehlender technischer Standards bestehen. Mit dem Wechsel gehen oftmals hohe Kosten für Datenmigration, Formatanpassungen oder Neuentwicklungen einher, insb. wenn bereits im Vorfeld Abhängigkeiten geschaffen wurden, die den Wechsel erschweren. Aufgrund der hohen Hürden kann ein Wechsel unterbleiben oder verzögert werden, obwohl dieser sinnvoll wäre. 

Dem soll u.a. mit Art. 23 DA entgegengewirkt werden, der festlegt: Die Regelungen des Kapitels VI sollen Kunden den Wechsel zwischen CSP ermöglichen und diese zur gleichzeitigen Nutzung mehrerer CSP befähigen. Hierfür sind Art. 23 DA zufolge „vorkommerzielle, gewerbliche, technische, vertragliche und organisatorische“ Hindernisse für einen Wechsel und die damit zusammenhängenden Handlungen zu beseitigen und das Erreichen der sog. „Funktionsäquivalenz“ nicht zu verhindern. Außerdem sollten Infastructure-as-a-Service (IaaS) Anbieter gemäß Art. 23 lit. e) DA im Rahmen des technisch Möglichen für eine Entkoppelung der von ihnen auf Basis der IaaS Dienste erbrachten weiteren Services sorgen.

Detaillierte Vorgaben für die Vertragsgestaltung enthält Art. 25 DA, der CSP dazu verpflichtet, ihre Kundenverträge anzupassen, während die Art. 26 und Art. 28 DA neue Informationspflichten schaffen, welche CSP gegenüber Kunden zukünftig einhalten müssen. Eine an Treu und Glauben orientierte und übergreifende Zusammenarbeitspflicht der Beteiligten sieht der DA in Art. 27 vor, die im Falle eines Anbieterwechsels gewährleisten soll, dass die Datenübertragung in einem verbindlichen Zeitrahmen erfolgt und die Fortführung des Dienstes während eines Wechsels sichergestellt ist. Sofern Entgelte für einen CSP-Wechsel vorgesehen sind, werden diese gemäß Art. 29 DA Schritt für Schritt aufgehoben und dürfen ab dem 12. September 2027 gar nicht mehr verlangt werden.

Art. 30 DA differenziert zwischen Anbietern von IaaS, Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) und gibt für diese technische Anforderungen an die Durchführung eines Anbieterwechsels vor: IaaS Anbieter sollen gemäß Art. 30 Abs. 1 S. 2 DA „die erforderlichen Instrumente“ bereitstellen, um einen Anbieterwechsel zu ermöglichen, PaaS und SaaS Anbieter sollen gemäß Art. 30 Abs. 1 S. 2 DA „unentgeltlich offene Schnittstellen“ zur Durchführung des Umzugs bereithalten.

Doch wen treffen die neuen Pflichten?

Die neuen Regelungen des DA: Datenverarbeitungsdienste als Verpflichtete, Kunden als Berechtigte 

Die Adressaten der neuen Pflichten der Art. 23 ff. DA sind Anbieter von Datenverarbeitungsdiensten, also gemäß Art. 2 Nr. 8 DA diejenigen, die Kunden eine „digitale Dienstleistung“ bereitstellen. Die umfassten Dienstleistungen zielen laut Erwägungsgrund 80 DA technologieoffen darauf ab, insb. (aber nicht ausschließlich) CSP zu umfassen, die IaaS, PaaS und SaaS Dienste anbieten. Nach der Definition müssen die Dienste „einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen“ gewährleisten, der „zentralisierter, verteilter oder hochgradig verteilter Art“ ist und mit „minimalem Verwaltungsaufwand oder minimaler Interaktion“ mit dem Anbieter „rasch bereitgestellt“ werden kann. Zwar bietet Erwägungsgrund 80 des DA einige Anhaltspunkte zur Auslegung all dieser unbestimmten Rechtsbegriffe, allerdings dürfte absehbar sein, dass es letztlich Gerichten obliegt, in streitigen Fällen zu entscheiden, ob ein Angebot als „digitale Dienstleistung“ und „Datenverarbeitungsdienst“ im Sinne des DA mit all seinen Pflichten einzustufen ist.

Demgegenüber werden die Kunden durch den DA mit einer Reihe neuer Rechte ausgestattet. Kunde ist gemäß Art. 2 Nr. 30 DA jede „natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere Datenverarbeitungsdienste in Anspruch zu nehmen“. Die Pflichten des DA für CSP gelten demnach nicht nur im B2C-, sondern auch im B2B-Bereich. Im Folgenden geben wir einen Überblick über diese neuen Pflichten.

Die Informationspflichten für CSP nach dem DA im Überblick

CSP haben zukünftig eine Reihe neuer Informationspflichten gegenüber Kunden oder gegenüber der Allgemeinheit bzw. Öffentlichkeit zu erfüllen, dazu zählen Informationen zum Anbieterwechsel, zu internationalen Datentransfers, zu Entgelten sowie zu Ausnahmen von gesetzlichen Pflichten.

Welche Inhalte sollen auf einen neuen Dienst übertragen werden? Welche Datenformate unterstützt der Anbieter? Auf welche Weise soll die Datenübermittlung erfolgen? Damit Kunden hierzu eine fundierte Entscheidung treffen und ihren Anbieterwechsel planen können, sieht der DA diverse Informationspflichten des Anbieters gegenüber den Kunden vor (Art. 26 DA, Erwägungsgrund 95 des DA). 

Der CSP ist entsprechend Art. 26 DA zunächst dazu verpflichtet, detaillierte Informationen über die verfügbaren Wechselverfahren und die Übertragung von Inhalten für den Kunden bereitzustellen. Hiervon umfasst sind sowohl Angaben zu den verfügbaren Methoden und Formaten des Wechselvorgangs und der Datenübermittlung als auch Angaben zu den dem Anbieter bekannten (technischen) Einschränkungen (vgl. Art. 26 lit. a) DA). Außerdem muss der Anbieter den Kunden gemäß Art. 26 lit. a) und lit. b) DA auf ein aktuelles „Online-Register“ hinweisen, in dem Einzelheiten zu sämtlichen Datenstrukturen und -formaten sowie zu den einschlägigen Normen und offenen Interoperabilitätsspezifikationen beschrieben sind, in denen die exportierbaren Daten gemäß Art. 25 Abs. 2 lit. e) DA verfügbar sind. Dieses Register muss nicht für die Allgemeinheit zugänglich im Internet verfügbar sein; ausreichend kann auch ein ausschließlich für Kunden zugängliches Portal sein. Nicht ausdrücklich bestimmt der DA, ab welchem Zeitpunkt diese Informationspflichten greifen sollen.

Gegenüber der Öffentlichkeit besteht außerdem eine Informationspflicht aus Art. 28 DA, die CSP auferlegt, auf ihren Websites stets aktualisierte Informationen bereitzustellen hinsichtlich der Gerichtsbarkeit, der die für die Bereitstellung der Dienste genutzte IKT-Infrastruktur unterliegt (Art. 28 Abs. 1 lit. a) DA), inkl. einer Beschreibung der technischen, organisatorischen und vertraglichen Vorkehrungen, welche der Anbieter zur Verhinderung möglicher internationaler staatlicher Zugriffe oder staatlicher Weitergaben von in der EU gespeicherten nicht-personenbezogenen Daten ergriffen hat (Art. 28 Abs. 1 lit. b) DA). Mit diesen Informationspflichten einher geht die Verpflichtung des Anbieters aus Art. 32 Abs. 1 DA, angemessene technische und organisatorische Maßnahmen zu ergreifen, um den Zugriff von staatlichen Stellen aus Drittländern zu verhindern, soweit die Zugriffsbefugnis im Widerspruch zum Unionsrecht oder dem Recht eines EU-Mitgliedsstaates steht. 

Art. 29 Abs. 4 und Abs. 5 DA enthalten darüber hinaus vorvertragliche Informationspflichten des Anbieters, wonach dieser etwaige Kunden vor Vertragsschluss in leicht abrufbarer Form und öffentlich verfügbar hinsichtlich der erhobenen Entgelte für den Dienst, der bei vorzeitiger Vertragsbeendigung berechneten Gebühren sowie mögliche Wechselentgelte (Abs. 4) und – soweit ein Wechsel des Dienstes zu einem anderen Provider hochgradig komplex oder kostspielig ist – über diesen Umstand (Abs. 5) unterrichten muss. 

Soweit der Anbieter partiell von den gesetzlichen Pflichten nach dem DA befreit ist, hat dieser gemäß Art. 31 Abs. 3 DA potentielle Kunden auch hierüber vor Vertragsschluss zu unterrichten. 

Der DA enthält außerdem Vorgaben für die Vertragsgestaltung

Art. 25 DA legt für den Vertrag zwischen Anbieter und Kunden die Pflicht zum Abschluss eines „schriftlichen Vertrages“  fest. Außerdem muss der Vertrag dem Kunden vor der Unterzeichnung so bereitgestellt werden, dass dieser ihn dauerhaft speichern kann. Weiterhin hält Art. 25 DA CSP dazu an, Verträge unter Berücksichtigung der teilweise sehr detailreichen gesetzlichen Anforderungen des DA zu überarbeiten. Hierdurch kann die Überarbeitung bestehender Cloud-AGB von Anbietern notwendig werden.

Zwingend in dem Vertrag geregelt bzw. vorgesehen werden müssen gemäß Art. 25 Abs. 2, Abs. 3 und Abs. 5 DA u.a. das Recht des Kunden zum Anbieterwechsel oder zur Übertragung aller Daten in eine kundeneigene Umgebung (Art. 25 Abs. 2 lit. a) DA), die Pflicht des Anbieters, bei einem Wechsel „für ein hohes Maß an Sicherheit“ insb. während der Datenübertragung zu sorgen (Art. 25 Abs. 2 lit. a) iv) DA), eine „maximale Kündigungsfrist für die Einleitung des Wechsels, die zwei Monate nicht überschreiten darf“ (Art. 25 Abs. 2 lit. d) DA), eine konkrete und abschließende Liste aller Datenkategorien, die während eines Anbieterwechsels übertragen werden, konkrete und abschließende Angaben, welche Daten „für die interne Funktionsweise des Datenverarbeitungsdienstes spezifisch sind“ und bei der „Gefahr einer Verletzung von Geschäftsgeheimnissen“ nicht übertragen werden (Art. 25 Abs. 2 lit. e) und f) DA), zum Recht des Kunden, von dem Anbieter („nach Ablauf der maximalen Kündigungsfrist“ von zwei Monaten) den Wechsel zu einem anderen Anbieter, den Umzug in eigene Räumlichkeiten oder die Löschung seiner Daten zu verlangen (Art. 25 Abs. 3 DA), sowie zum Recht des Kunden zur einmaligen angemessenen Verlängerung des Übergangszeitraums (Art. 25 Abs. 5 DA). 

Bei Verstoß gegen die neuen Regelungen durch einen Anbieter können Bußgelder und zivilrechtliche Folgen drohen. Neben der Nichtigkeit von Regelungen sind zudem Ansprüche betroffener Kunden oder wettbewerbsrechtliche Ansprüche von Mitbewerbern des Anbieters denkbar.

In unserem nächsten Beitrag beschäftigten wir uns mit den neuen Pflichten für CSP im Rahmen eines Wechselprozesses nach dem Data Act. Mit unserer CMS Blog-Serie „#CMSdatalaw“ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht zudem gern unsere CMS Insight-Seite „Data Law“. 

Die Gesetzestexte und Erwägungsgründe zum Digital Services Act (DSA) und dem Data Governance Act (DGA) finden Sie für die Praxis kompakt aufbereitet bei CMS DigitalLaws.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Data Act und Cloud Service Provider (Teil 1): Vertragsgestaltung und Informationspflichten  erschien zuerst auf CMS Blog.

In seiner Entscheidung vom 10. April 2024 (UPC_CoA_404/2023, ORD_19369/2024) hat das Berufungsgericht des Einheitlichen Patentgerichts (UPC) über die Voraussetzungen des öffentlichen Zugangs zu Schriftsätzen und Beweismitteln entschieden.

Auf Grundlage der Verfahrensordnung (VerfO) des UPC sind Entscheidungen und Anordnungen des UPC – vorbehaltlich etwaig erforderlicher Schwärzungen, etwa betreffend personenbezogene Daten – stets zu veröffentlichen, vgl. Regel 262.1 (a) VerfO. Das UPC hat für die Veröffentlichung von Entscheidungen und Anordnungen eine eigene Seite auf seiner Website eingerichtet. Schwieriger zu beurteilen ist die Frage, wann die am jeweiligen Verfahren nicht beteiligte Öffentlichkeit Zugang zu Verfahrensdokumenten in Form von Schriftsätzen und Beweismitteln erhält. Regel 262.1 (b) VerfO sieht insoweit vor, dass Schriftsätze und Beweismittel, die beim UPC eingereicht und von der Kanzlei des UPC aufgenommen worden sind, der Öffentlichkeit auf einen an die Kanzlei zu richtenden, begründeten Antrag hin zugänglich zu machen sind. Die Entscheidung der Zugänglichmachung wird dabei vom Berichterstatter* des jeweiligen Spruchkörpers des UPC nach Anhörung der Parteien getroffen. Zu den konkreten Voraussetzungen einer solchen Offenlegung hat sich das Berufungsgericht des UPC nun erstmals geäußert.

Antrag nach Regel 262.1 (b) VerfO bei der nordisch-baltischen Regionalkammer, Begründung und Anträge der Parteien des Verfahrens

In Bezug auf ein Patentverletzungsverfahren vor der nordisch-baltischen Regionalkammer (Überblick über die Standorte des UPC) hatte die Kanzlei des UPC einen Antrag nach Regel 262.1 (b) VerfO erhalten, mit dem der nicht namentlich benannte Antragsteller Zugang zur Klageschrift und allen Entscheidungen der nordisch-baltischen Regionalkammer in diesem Verletzungsverfahren sowie zu den Entscheidungen in den Parallelverfahren vor der Lokalkammer Düsseldorf und der Lokalkammer Mailand begehrte.

Zur Begründung seines Antrags führte der Antragsteller u.a. aus, dass er an der Formulierung der bei der nordisch-baltischen Regionalkammer eingereichten Klage interessiert sei, da sie parallel in Verfahren bei anderen Lokalkammern eingereicht worden sei, und dass er der Ansicht ist, dass ein allgemeines öffentliches Interesse daran bestehe, dass diese Informationen im Zuge der Einführung und Entwicklung des neuen Gerichtssystems der Öffentlichkeit zugänglich gemacht werden und zur Diskussion stehen. 

Die Parteien des Verfahrens erhielten, wie von Regel 262.1 (b) VerfO vorgesehen, Gelegenheit zur Stellungnahme zum Antrag, einschließlich eines möglichen Antrags nach Regel 262.2 VerfO, nach dem eine Partei beantragen kann, dass bestimmte in Schriftsätzen oder Beweismitteln enthaltene Informationen vertraulich zu behandeln sind. Die Klägerin des Verletzungsverfahrens widersprach dem Antrag auf Zugänglichmachung der Klageschrift bzw. der Entscheidungen und beantragte, den Antrag zurückweisen. Zur Begründung führte sie aus, dass sich Regel 262.1 (b) VerfO nur auf „Schriftsätze und Beweismittel“ beziehe. Die Regel beziehe sich gerade nicht auf die Zugänglichmachung von Entscheidungen und Anordnungen. Der Antragsteller müsse wie jeder andere auch auf die Veröffentlichung der Entscheidungen auf der Website warten. Bei Schriftsätzen und Beweismitteln verlange Regel 262.1 (b) VerfO einen „begründeten Antrag“, d.h. es müsse ein konkreter, überprüfbarer und legitimer Grund vorliegen, um die Dokumente einem Mitglied der Öffentlichkeit zugänglich zu machen. Einem Dritten solle es nicht gestattet werden, die sorgfältig und mit nicht unerheblichem Aufwand erstellten Schriftsätze zur Durchsetzung eigener wirtschaftlicher Interessen zu verwenden, und die Klägerin habe keine Möglichkeit zu überprüfen, wie die aus der Überprüfung ihrer Klageschrift gewonnenen Erkenntnisse in der Praxis angewendet werden.

Für den Fall, dass dem Antrag auf Zugang u.a. zur Klageschrift stattgegeben wird, beantragte die Klägerin, dass die Zugänglichmachung der Dokumente an den Antragsteller bis zum Abschluss eines etwaigen Rechtsmittelverfahrens ausgesetzt wird, oder hilfsweise, dass die Dokumente dem Antragsteller erst 21 Tage nach dem Erlass einer Entscheidung bereitgestellt werden, um sicherzustellen, dass die Klägerin genügend Zeit hat, um beim Berufungsgericht die aufschiebende Wirkung gemäß Regel 223 VerfO zu beantragen. Die Beklagten des Verletzungsverfahrens äußerten sich zum Antrag auf Zugänglichmachung nicht. Keine der Parteien stellte einen Geheimnisschutzantrag nach Regel 262.2 VerfO.

Auslegung der Regel 262.1 (b) VerfO durch die nordisch-baltische Regionalkammer

In ihrer Entscheidung vom 17. Oktober 2023 (UPC_CFI_11/2023, ORD_543819/2023) stellt die nordisch-baltische Regionalkammer nach dem Tatbestand zunächst ausführlich den für die Entscheidung relevanten rechtlichen Rahmen dar. Dabei stellt sie zunächst klar, dass nach Art. 10 Abs. 1 S. 3 des Übereinkommens über ein Einheitliches Patentgericht (EPGÜ) das von der Kanzlei geführte Register vorbehaltlich der im EPGÜ festgelegten Bedingungen und der Verfahrensordnung öffentlich ist.

Die nordisch-baltische Regionalkammer wirft sodann die Frage auf, ob sich Art. 10 EPGÜ auch auf den Inhalt des Registers bezieht. Zur Beantwortung dieser Frage zieht die Regionalkammer Art. 45 EPGÜ heran, nach dem die Verhandlungen öffentlich sind, es sei denn, das UPC beschließt, sie – soweit erforderlich – im Interesse einer der Parteien oder sonstiger Betroffener oder im allgemeinen Interesse der Justiz oder der öffentlichen Ordnung unter Ausschluss der Öffentlichkeit zu führen. Der Anwendungsbereich des Art. 45 EPGÜ sei nicht auf Entscheidungen, Anordnungen oder mündliche Verhandlungen beschränkt, sondern beziehe sich allgemein auf das Verfahren als solches. Daraus folgert die Regionalkammer, dass u.a. auch das schriftliche Verfahren (zu den einzelnen Verfahrensabschnitten s. Art. 52 Abs. 1 EPGÜ) grundsätzlich öffentlich sei, vorbehaltlich etwaiger Einschränkungen im Sinne des Art. 45 EPGÜ. Dieses grundlegende Verständnis sei bei den Anforderungen an den „begründeten Antrag“ nach Regel 262.1 (b) VerfO zu berücksichtigen. Der Begriff sei auch in weiteren Regeln der Verfahrensordnung zu finden, etwa in Regel 9 VerfO, nach der das UPC auf einen begründeten Antrag hin Fristen verkürzen oder verlängern kann. Im Rahmen der Regel 262.1 (b) VerfO sei „begründeter Antrag“ dahin zu verstehen, dass der Antragsteller eine glaubhafte bzw. plausible Erklärung dafür beibringen müsse, weshalb er Zugang zu Schriftsätzen und/oder Beweismitteln begehrt. Diese Auslegung stütze sich auf Art. 45 EPGÜ und stehe im Einklang mit Regel 262.6 VerfO, welche klarstellt, dass das UPC ungeachtet eines möglichen Geheimnisschutzantrags nach Regel 262.2 VerfO dem Antrag auf Zugang zu Schriftsätzen/Beweismitteln grundsätzlich stattgibt, es sei denn, von der betreffenden Partei angeführte berechtigte Gründe für die Vertraulichkeit der Informationen überwiegen das Interesse des Antragstellers am Zugang zu diesen Informationen.

Auf Grundlage dieser Auslegung gewährte die Regionalkammer dem Antragsteller Zugang zur Klageschrift. Ebenso wies die Regionalkammer den Antrag auf Zugang zu Entscheidungen/Anordnungen in den Parallelverfahren mangels Zuständigkeit zurück. Offen lässt die Regionalkammer, ob es grundsätzlich möglich ist, über einen Antrag nach Regel 262.1 (b) VerfO Zugang zu bislang noch nicht veröffentlichten Entscheidungen/Anordnungen des UPC zu erlangen.

Da die Frage des öffentlichen Zugangs zu Dokumenten nach Regel 262.1 (b) VerfO umstritten ist, ordnete die die Regionalkammer an, dass die Klageschrift dem Antragsteller – nach Schwärzung von personenbezogenen Daten im Sinne der DSGVO – erst am 7. November 2023 zur Verfügung gestellt werden solle, um der Klägerin des Verletzungsverfahrens Gelegenheit zur Einlegung der Berufung und zur Beantragung der aufschiebenden Wirkung der Berufung zu geben.

Anwaltliche Vertretung bei einem Antrag nach Regel 262.1 (b) VerfO erforderlich

Die Klägerin des Verletzungsverfahrens legte gegen die Entscheidung der Regionalkammer Berufung ein. Bevor das Berufungsgericht in der Sache (dazu unten) entschied, verhielt es sich in seiner Entscheidung vom 8. Februar 2024 (UPC_CoA_404/2023, App_584498/2023) dazu, ob Antragsteller bei einem Antrag nach Regel 262.1 (b) VerfO (anwaltlich) vertreten sein müssen. Sowohl die Klägerin des Verletzungsverfahrens als auch der Antragsteller argumentierten, dass eine Vertretung nicht erforderlich sei, da der Antragsteller keine „Partei“ des Verfahrens im Sinne des Art. 48 Abs. 1, Abs. 2 EPGÜ bzw. Regel 8.1 VerfO sei. Das Berufungsgericht hingegen ist der Ansicht, dass auch der Antragsteller eines Antrags nach Regel 262.1 (b) VerfO „Partei“ im Sinne der Regel 8.1 VerfO sei. Dies ergebe sich u.a. daraus, dass Regel 8.1 VerfO nur Antragsteller von Opt-Out-Anträgen, von Anträgen auf Aufhebung oder Abänderung einer Entscheidung des Europäischen Patentamts (EPA) und von Anträgen auf Prozesskostenhilfe explizit und abschließend vom Vertretungserfordernis ausnehme, woraus im Umkehrschluss folge, dass für Antragsteller in allen anderen Verfahren das Vertretungserfordernis gelte. Das Vertretungserfordernis stelle für den Antragsteller auch keine unbillige Härte dar, da es nur im Eigeninteresse des Antragstellers liege, sich mit Hilfe eines Vertreters vor möglichen Konsequenzen von Prozesshandlungen zu schützen. Dementsprechend gab das Berufungsgericht dem Antragsteller auf, binnen 14 Tagen einen Vertreter zu benennen bzw. zu bestellen und im selben Zeitraum eine Berufungserwiderung einzureichen.

Auslegung der Regel 262.1 (b) VerfO durch das Berufungsgericht

In seiner Entscheidung vom 10. April 2024 weist das Berufungsgericht die Berufung zurück. Zunächst stellt das Berufungsgericht fest, dass es in Fragen nicht-technischer Natur – wie hier – in einer Besetzung von drei rechtlich qualifizierten Richtern ohne die Mitwirkung von technisch qualifizierten Richtern entscheiden kann. Hinsichtlich des Zugangs zu Dokumenten stellt das Berufungsgericht fest, dass aus Art. 10 und Art. 45 EPGÜ der allgemeine Grundsatz folge, dass sowohl das Register als auch die Verfahren öffentlich sind, es sei denn, die Abwägung der betroffenen Interessen ergibt, dass die in das Verfahren eingeführten Informationen vertraulich zu behandeln sind. Abzuwägen seien bei einem Antrag nach Regel 262.1 (b) VerfO das Interesse des Antragstellers auf Zugang zu den beantragten Dokumenten auf der einen Seite und das Interesse der Partei(en) des Verfahrens auf Schutz von vertraulichen Informationen und personenbezogenen Daten auf der anderen Seite. Auch das allgemeine Interesse der Justiz und der öffentlichen Ordnung müsse berücksichtigt werden. Zum allgemeinen Interesse der Justiz gehöre der Schutz der Integrität der Verfahren. Die öffentliche Ordnung sei etwa dann betroffen, wenn ein Antrag nach Regel 262.1 (b) VerfO missbräuchlich ist oder Sicherheitsinteressen auf dem Spiel stehen. Um dem über den Antrag entscheidenden Berichterstatter eine Interessenabwägung zu ermöglichen, müsse der Antrag nach Regel 262.1 (b) VerfO begründet werden. Nach dem Berufungsgericht ermögliche der öffentliche Zugang zu Dokumenten u.a. die Kontrolle des UPC durch die Öffentlichkeit, was wichtig sei für die Vertrauensbildung in das UPC. Dieses allgemeine Interesse der Öffentlichkeit bestehe regelmäßig insbesondere, nachdem eine Entscheidung durch das UPC erlassen wurde, da die Vorgehensweise und der Entscheidungsfindungsprozess des UPC anhand der getroffenen Entscheidung nachvollzogen werden könne. Der Schutz der Integrität des Verfahrens spiele regelmäßig nur so lange eine Rolle, bis das Verfahren abgeschlossen ist, sei es durch eine Entscheidung des UPC oder durch anderweitige Beendigung, z.B. durch Rücknahme der Klage. Sofern der Schutz der Integrität des Verfahrens keine Rolle mehr spielt, sei der Zugang zu Verfahrensdokumenten – vorbehaltlich etwaiger Schwärzungen – regelmäßig zu gewähren.

Ungeachtet der Situation der Verfahrensbeendigung kann ein Antragsteller nach dem Berufungsgericht auch ein spezifisches Interesse am Zugang zu den Schriftsätzen und Beweismitteln eines bestimmten Verfahrens haben. Dies sei insbesondere dann der Fall, wenn er ein unmittelbares Interesse am Streitgegenstand hat, wie z.B. am Rechtsbestand eines Patents, von dem er auch als Wettbewerber oder Lizenznehmer betroffen ist, oder wenn der Antragsteller ein ähnliches oder identisches (vermeintliches) Verletzungsprodukt benutzt oder zu benutzen beabsichtigt wie die beklagte Partei eines Patentverletzungsverfahrens vor dem UPC. Wenn ein Mitglied der Öffentlichkeit ein solches unmittelbares berechtigtes Interesse an dem Gegenstand eines bestimmten Verfahrens hat, entstehe dieses Interesse nicht erst nach Abschluss des Verfahrens, sondern könne auch während des laufenden Verfahrens gegeben sein.

Schließlich stellt das Berufungsgericht klar, dass auch bei Gewährung des Zugangs zu Schriftsätzen/Beweismitteln das UPC zum Zweck eines angemessenen Schutzes der Integrität des Verfahrens die Gewährung des Zugangs von bestimmten Bedingungen abhängig machen kann, wie etwa der Verpflichtung des Antragstellers, die Schriftsätze und Beweismittel, zu denen ihm Zugang gewährt wurde, vertraulich zu behandeln, solange das Verfahren nicht abgeschlossen ist.

Auslegung der Regel 262.1 (b) VerfO durch die Zentralkammer des UPC

Vor der Entscheidung des Berufungsgerichts hatte im März 2024 bereits die Zentralkammer (Paris) des Gerichts erster Instanz entschieden (UPC_CFI_262/2023, ORD_7460/2024), dass nach Regel 262.1 (b) VerfO Einsicht nur in Schriftsätze und Beweismittel gewährt werden könne, nicht auch in andere Verfahrensdokumente, die etwa die Kommunikation zwischen der Kanzlei und den Verfahrensparteien betreffen. Ebenso hatte bereits im September 2023 die Zentralkammer (Abteilung München) entschieden (UPC_CFI_75/2023, ORD_552745/2023) und sich in dieser Entscheidung auch zur Auslegung des „begründeten Antrags“ geäußert.

Zunahme von Geheimnisschutzanträgen nach der Entscheidung des Berufungsgerichts zu erwarten

Durch seine Entscheidung hat das Berufungsgericht die Position der Öffentlichkeit auf Zugang zu Schriftsätzen und Beweismitteln auch im Rahmen von noch nicht abgeschlossenen Verfahren gestärkt. Parteien der Verfahren und ihre Vertreter sind daher gut beraten, spätestens beim Eingang eines Antrags nach Regel 262.1 (b) VerfO geheimhaltungsbedürftige Informationen in Schriftsätzen und/oder Beweismitteln durch entsprechende Anträge vor dem (ggf. unerwünschten) Zugriff der Öffentlichkeit zu schützen. Es bleibt abzuwarten, wie das UPC konkret mit Anträgen auf Zugang zu Schriftsätzen/Beweismitteln in noch laufenden Verfahren umgehen bzw. diese bescheiden wird. Hier dürfte die Darlegung eines bloß allgemeinen Interesses auf Zugang voraussichtlich nicht ausreichen. Es ist ein spezifisches bzw. besonderes Interesse darzulegen, wie beispielsweise die eigene Betroffenheit im Hinblick auf das streitgegenständliche Patent.

This article is also available in English.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag UPC: Berufungsgericht klärt Fragen des Zugangs der Öffentlichkeit zu bestimmten Verfahrensdokumenten erschien zuerst auf CMS Blog.

Die Immobilienkrise in China sorgte in den vergangenen Jahren regelmäßig für Schlagzeilen. Aufgrund der Größe der chinesischen Volkswirtschaft und ihrer internationalen Verflechtungen liegt es nahe, dass eine Eskalation dieser Krise auch für Deutschlands Immobilienmarkt und die Wirtschaft im weiteren Sinne Konsequenzen haben könnte. In diesem Beitrag sollen die Ursachen, Entwicklungen sowie Auswirkungen der chinesischen Immobilienkrise beleuchtet sowie Zukunftsaussichten dargestellt werden.

Ursachen der Immobilienkrise in China

In das Bewusstsein der meisten westlichen Beobachter* rückten die Probleme am chinesischen Immobilienmarkt im Sommer 2021. Liquiditätsprobleme bei dem wohl bekanntesten Protagonisten der Krise, der China Evergrande Group, führten dazu, dass Ratingagenturen ihre Kreditratings für das Unternehmen herabsetzten. Evergrande konnte im Herbst 2021 fällige Zinszahlungen nicht leisten und nach jahrelangen Versuchen der Sanierung wurde nun am 29. Januar 2024 durch ein Hongkonger Gericht die Liquidation des Unternehmens angeordnet. Dies sind jedoch nur die Symptome einer Krise, deren Ursprung weiter zurückliegt und mehrere Ursachen hat:

Überhitzung des Immobilienmarktes

Aufgrund des rasanten wirtschaftlichen Aufschwungs Chinas in den 2000er und 2010er Jahren explodierte die Nachfrage nach Immobilien, da große Teile der Landbevölkerung in die Städte zogen, um von der dortigen ökonomischen Entwicklung zu profitieren. Die Verstädterungsrate in China stieg von 19 % im Jahr 1980 auf ca. 64 % im Jahr 2022 an. Im Zuge dieser Urbanisierung wuchsen die Städte rasant, immer mehr Wohnraum wurde benötigt.

In der chinesischen Gesellschaft gilt Immobilieneigentum oftmals als im Vergleich zu Aktien oder Fonds sicherere Anlagemöglichkeit. Ferner sehen viele Chinesen in Zeiten des Junggesellenüberschusses als Auswirkung der Ein-Kind-Politik ein eigenes Heim als notwendige Voraussetzung für eine Ehe.  Die übermäßige Nachfrage an Wohnraum konnte kaum gesättigt werden, sodass ein Bauboom zu überhöhten Immobilienpreisen ausbrach.

Der Immobiliensektor gewann durch diese Entwicklung enorm an Bedeutung und macht heute gemeinsam mit dem Bausektor ungefähr ein Viertel des chinesischen Bruttoinlandsproduktes aus.

Zurückhaltende Regulierung

Begünstigt wurden die aktuellen Entwicklungen durch ein geringes Maß an Regulierung und gleichzeitig hohe Erwartungen an den Beitrag des Immobiliensektors zu den Staatszielen. 

Zum einen benötigen die regionalen Regierungen in China Erlöse aus Grundstücksverkäufen an private Investoren, um lokale Projekte zu finanzieren und beschlossene Wachstumsziele zu erreichen. Durch die restriktive Freigabe von Bauflächen bei einer hohen Nachfrage konnten die Kaufpreise für Grundstücksflächen hochgehalten werden.

Zum anderen wurden großen Immobilienentwicklern und auch deren Investoren lange Zeit weite Handlungsspielräume gelassen. Die Branche wurde kaum reguliert, um das Wachstum nicht zu gefährden.

Die zurückhaltende Regulierung wurde durch Investment- und Treuhandfonds gewinnbringend genutzt. So unterstützten insbesondere Finanzunternehmen, die keine Banklizenz haben, aber im Auftrag von Investoren Geld anlegen und Vermögensverwaltungsprodukte an Kleinanleger verkaufen den Bausektor. Jahrelang wurden bevorzugt regionale und lokale Kredite vergeben, die durch Investoren und Konzerne angenommen wurden, wenn die Staatsbanken ablehnten. Auch öffentliche Stakeholder nutzten diese Vehikel, um bei drohenden Kreditausfällen gegenüber Staatsbanken die städtische Entwicklung voranzutreiben.

Diese Umstände führten dazu, dass Immobilienkonzerne während des Baubooms aggressiv expandierten und diese Expansion über Anleihen und Kredite finanzierten. Die Immobilienentwickler verschuldeten sich zunehmend, allein Evergrande hatte im September 2021 Schulden in Höhe von 2 Billionen RMB (umgerechnet zu dem Zeitpunkt ca. USD 300 Mrd.). Viele Unternehmen verkauften zur Finanzierung ihrer Expansion die Wohnungen schon vor deren Fertigstellung, um die Erlöse in neue Projekte investieren zu können.

Marktentwicklungen der letzten Jahre: Sinkende Nachfrage und Preise

Die Blase des überhitzten Immobilienmarktes drohte bereits im Zuge der Coronakrise erstmals zu platzen. Die wirtschaftliche Verunsicherung der Konsumenten und das rückläufige Bevölkerungswachstum (damit einhergehend der Urbanisierungsrate) führten zu einem Rückgang der Binnennachfrage für Immobilien.

Konsequenz der sinkenden Nachfrage bei weiterhin großem Angebot war, dass auch die Preise für Immobilien sanken. Die Deflation verstärkte die bereits vorhandene Investitionsaversion. Die von vielen großen Immobilienentwicklern verfolgte Strategie funktionierte nur so lange, wie auch die Preise stiegen und die Schulden durch frischen Cashflow bedient werden konnten. Durch den ausbleibenden Geldfluss kamen die großen Immobilienunternehmen in Liquiditätsprobleme und gerieten in wirtschaftliche Schieflage. 

Auch Investmentfonds sahen angesichts der Krise von weiteren Investitionen in die großen chinesischen Bauunternehmen ab, was deren Liquiditätsprobleme vergrößerte. 

Anpassung der Kreditbedingungen

Inmitten des ersten Corona-Lockdowns im August 2020 wurde die Regulierung bezüglich der Verschuldung der großen Immobilienkonzerne verschärft. Die Regulierung sieht die Implementierung von sog. „drei roten Linien“ vor, die die Verhältnisse von Schulden zu Eigenkapital, Barmitteln und Aktiva vorschreiben. Ziel der Regulierung ist es, die aggressive Schuldenfinanzierung der Immobilienkonzerne zu unterbinden und hierdurch den Markt zu stabilisieren. Ein erkennbarer Erfolg dieser Regulierung ist jedoch (bisher) ausgeblieben. Die notleidenden Kredite bei den vier großen chinesischen Banken stiegen im Jahr 2023 um 10,4 % von CNY 1,117 Billionen, etwa USD 155 Milliarden, im Jahr 2022 auf CNY 1,23 Billionen.

Gleichzeitig drängt Peking Medienberichten zufolge die Kreditinstitute, die Finanzierung für Bauträger zu verbessern. Am 26. Januar 2024 wurde das „Project Whitelist″ gestartet, in dessen Rahmen die Behörden von 35 Städten den Banken Wohnbauprojekte, die finanzielle Unterstützung benötigen, empfehlen. 

Zusammenbruch der Immobilienentwickler und Auswirkungen in China

Die genannten Marktentwicklungen führten dazu, dass inzwischen ca. 75 % der größten Bauträger Chinas des Jahres 2020 zahlungsunfähig geworden sind. Symptomatisch steht hierfür Evergrande: nach den bekannt gewordenen Finanzproblemen im Jahr 2021 wurde der Handel mit der Evergrande Aktie mehrfach ausgesetzt, im August 2023 beantragte das Unternehmen in den USA Gläubigerschutz nach Chapter 15 des US Bankruptcy Code. Die Folgen des Urteils vom 29. Januar 2024 sind noch abzuwarten, gerade da die Gefahr besteht, dass die Volksrepublik China das Urteil aus Hongkong nicht anerkennt.

Die finanziellen Probleme bei den Immobilienunternehmen führten zu Baustopps bei Wohnungsbauprojekten, die nach der gängigen Praxis bereits verkauft waren. Die Investmentbank Nomura schätzte im November 2023, dass es in ganz China rund 20 Millionen unfertige Wohnungen gibt. Die gesamte Finanzierungslücke für die Fertigstellung dieser Projekte belief sich Nomura zufolge auf rund USD 446 Mrd. Wütende Käufer stellten Zahlungen auf ihre Immobilienfinanzierungen ein, was die Liquiditätsprobleme der Unternehmen weiter verstärkte. Die kritische Situation der Immobilienentwickler bedroht nun auch abhängige Industrien wie die Bau- und Zulieferindustrie und dadurch auch die Arbeitnehmer dieser Branchen. Ebenso sind die finanzierenden Institutionen mittelbar durch Kreditausfall bedroht.

Auswirkungen auf die internationalen Märkte und die Baubranche: Investitionen in den deutschen Immobilienmarkt

Chinesische Firmen und, soweit möglich, Staatsbürger investierten in den Jahren vor der Corona-Pandemie in erheblichem Maße in ausländische Immobilien, darunter auch in Deutschland. Nachdem der nationale Markt immer unattraktiver wird, suchen wohlhabende Chinesen und chinesische Unternehmen nach Möglichkeiten ihr Vermögen international anzulegen. Beispielhaft wird hier die Beteiligung des chinesischen Staatskonzerns Cosco am Hamburger Hafen genannt. Als Reaktion auf das gesteigerte Interesse aus Fernost plant das deutsche Wirtschaftsministerium ein neues Investitionsprüfgesetz. Die EU-Kommission stellte vergangenes Jahr ihre Economic Security Strategy vor, mit welcher u.a. wirtschaftliche Abhängigkeiten von China verringert werden sollen.

Auswirkungen auf die deutsche Baubranche

Auch die deutsche Baubranche steckt in der Krise, da die Baupreise steigen und die Zahl der Bauaufträge sinkt. Allerdings sehen die meisten Experten die Gründe hierfür nicht mit dem chinesischen Markt verbunden. Vielmehr werden als Gründe hohe Baukosten, steigende Zinsen und die Stornierung von nicht mehr durchzuführenden Projekten angeführt. Gerade in Kommunen fehlt laut des Präsidenten des Zentralverbands Deutsches Baugewerbe oft das Geld für öffentliche Bauaufträge.

Die chinesische Immobilienkrise könnte jedoch in der Zukunft einen positiven Effekt für deutsche Bauunternehmen haben: durch die niedrige Nachfrage nach Baurohstoffen in China könnten sich die hohen Materialpreise entspannen, die der Branche in Deutschland aktuell zu schaffen machen.

Effekte auf den deutschen Exportmarkt

Das schwächere Wachstum der Unternehmen und der Konsumrückgang treffen auch die Exporteure nach China. Besonders belastend ist hier, dass China trotz der Abwertung seiner Währung eine Deflation erlebt. Somit müssen sich deutsche Firmen mit den niedrigen Preisen der chinesischen Konkurrenz messen. Darüber hinaus sind viele internationale Unternehmen direkt im chinesischen Immobilienmarkt tätig oder von ihm abhängig und sind von einem weiteren Abschwung ebenfalls betroffen.

Deutsche Unternehmen und Investoren, die auf dem chinesischen Markt agieren, können ausstehende Forderungen mit einem entsprechenden Titel eines chinesischen Gerichts mittels Zwangsvollstreckung eintreiben. Die Zwangsvollstreckung ist jedoch nur möglich, solange noch kein Insolvenzantrag gegen das chinesische Unternehmen gestellt wurde. 

Einen Antrag auf Eröffnung des Insolvenzverfahrens in China selbst zu stellen ist umständlich und teuer. Gläubiger chinesischer Firmen sollten die finanzielle Situation ihrer Vertragspartner genauestens beobachten. 

Globale wirtschaftliche Verunsicherung

Die Krise auf dem chinesischen Immobilienmarkt könnte ferner globale Auswirkungen haben. Für das Jahr 2023 wird der Anteil am kaufkraftbereinigten globalen BIP von China durch den Internationalen Währungsfonds auf rund 18,82 % prognostiziert. Der IMF prognostiziert China für das Jahr 2024 ein BIP-Zuwachs in Höhe von 4,6 %, im Jahr 2023 waren es noch 5,2 %. Mit Investitionsimpulsen wie in der Finanzkrise 2018, als die chinesische Wirtschaft den weltweiten Turnaround stimulierte, ist zumindest aus der Immobilienbranche nicht zu rechnen.

Ferner besteht die Gefahr des sog. Spillover-Effekts, bei dem finanzielle Instabilitäten in einem Land oder Sektor auf andere übergreifen. Ein erheblicher Teil der Schulden von Unternehmen wie Evergrande und Country Garden Holdings besteht aus international gehandelten Anleihen. Der Handel mit Papieren von Country Garden an der Hongkonger Börse wurde bereits eingestellt, da diese ihre Bilanz für 2023 nicht fristgerecht vorlegen konnte. Durch die Unsicherheiten auf dem chinesischen Markt und die Gefahr der eigenen Verlustgeschäfte könnte das globale Investitionsinteresse zurückgehen.

Ausblick – Wie reagiert die Volkrepublik?

Chinas Zentralbank und deren Finanzaufsichtsbehörde haben bekannt gegeben, dass sie Regeln für die Kreditaufnahme lockern wollen, um mögliche Hauskäufer zu unterstützen. Die Regierung erwägt, den schwächelnden Markt mit einem Maßnahmenpaket von ca. USD 300 Mrd. zu unterstützen. Diese Maßnahmen wären die bisher größten, um die Finanzierungslücke für die Fertigstellung von rund 20 Millionen unvollständigen, bereits verkauften Einheiten in ganz China zu schließen. Großstädte wollen zudem den Menschen Vorzugskredite zum Kauf eines Eigenheims gewähren.

Das „Projekt Whitelist″ soll die zögernden Kreditinstitute dazu bewegen, Kredite zur Fertigstellung der Bauprojekte zur Verfügung zu stellen. Mutmaßlich werden die Kreditinstitute jedoch eher größere, staatliche Bauträger bevorzugen als ihre kapitalschwachen, privaten Konkurrenten. 

Ob diese Maßnahmen den angeschlagenen Markt stabilisieren können, bleibt abzuwarten. Die letzten Zahlen des auf Immobilien spezialisierten Forschungsinstituts China Index Academy verzeichneten einen Anstieg des durchschnittlichen Wohnungspreises in 100 ausgewählten Städten im Vergleich zum Vormonat um 0,27 Prozent. Für ausländische Investoren und den deutschen Markt bleibt dennoch weiterhin unklar, in welchem Maße sich die instabile Marktlage auswirkt. Die Hoffnung ist, dass China die Krise selbst auffangen kann. Ansonsten könnte die Liquidation von Evergrande für die globale Wirtschaft der erste Meilenstein eines massiven Abschwungs darstellen.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Die chinesische Immobilienkrise und deren Auswirkungen auf den deutschen Markt erschien zuerst auf CMS Blog.

Die EU möchte mit dem Digital Services Act (DSA) rechtswidrige Inhalte im Internet effizienter bekämpfen. Dadurch soll der Grundrechtsschutz im Netz verbessert und ein sichereres und vertrauenswürdigeres Online-Umfeld geschaffen werden. Zu diesem Zweck legt der DSA allen Online-Vermittlungsdiensten umfassende Pflichten auf. Das gilt nicht nur für sehr große Online-Plattformen und -Suchmaschinen (Very Large Online Platforms / Search Engines, VLOPs und VLOSEs), sondern grundsätzlich für alle Online-Vermittlungsdienste. Bei Verstößen gegen die DSA-Pflichten drohen empfindliche Bußgelder von bis zu 6 % des weltweiten Vorjahresumsatzes und weitere Sanktionen.

Eine kompakte Aufbereitung des finalen DSA-Gesetzestexts (sowie weiterer EU-Gesetzesakte) finden Sie bei unseren CMS DigitalLaws. Auf dieser Website sind die einzelnen Artikel des DSA zusammen mit Verlinkungen zu den jeweils einschlägigen Erwägungsgründen abrufbar – Nutzerfreundlich, leicht durchsuchbar und in zwei Sprachen (deutsch / englisch).

Unser DSA News Hub bietet einen Überblick zu den wichtigsten Neuigkeiten rund um den DSA, einschließlich dem deutschen Digitale-Dienste-Gesetz (DDG), und wird laufend aktualisiert – zuletzt am 23. April 2024. 

• 22. April 2024: Die Kommission leitet ein zweites förmliches Verfahren gegen TikTok ein. Hiermit will die Kommission prüfen, ob der in Frankreich und Spanien bereits angebotene neue Dienst TikTok Lite gegen den DSA verstößt. Der Dienst enthält u.a. das neue Feature „Task and Reward Program“, womit durch das Erfüllen von Aufgaben in Form des Konsumierens und Abonnierens von Videoinhalten und -kanälen Gutschriften gesammelt werden, die die Nutzenden dann in geldwerte Gutscheine und Produkte bei anderen Anbietern einlösen können. Die Kommission ist der Ansicht, dass TikTok als VLOP vor der Einführung eines solchen Features eine Risikobewertung nach Art. 34 DSA sowie etwaige risikomindernde Maßnahmen nach Art. 35 DSA hätte vornehmen müssen. Grund hierfür sei, dass von diesem Feature ein hoher Suchteffekt ausgehe, der letztlich auch Jugendliche gefährden könne, da TikTok keine wirksamen Mechanismen zur Altersüberprüfung vorhalte. Darüber hinaus übermittelte die Kommission TikTok ein förmliches Auskunftsverlangen zur Beantwortung eines Auskunftsersuchens der Kommission vom 17. April 2024. Danach hat TikTok bis zum 23. April 2024 Zeit, den Risikobewertungsbericht für TikTok Lite vorzulegen und bis zum 3. Mai 2024, um Informationen über die Maßnahmen zu erbringen, die die Plattform ergriffen hat, um potenzielle systemische Risiken dieser neuen Funktionen zu mindern. Falls TikTok dem nicht nachkomme, drohten laut Kommission Geldbußen sowie Zwangsgelder. Außerdem habe sich die Kommission eine (teilweise) Aussetzung des Dienstes vorbehalten.
• 19. April 2024: Nachdem die EU-Kommission die drei Porno-Plattformen Pornhub, Stripchat und XVideos im Dezember 2023 als VLOP benannt hatte, teilt die Kommission nun mit, dass die viermonatige Frist abgelaufen sei und entsprechend für diese Plattformen ab sofort sämtliche VLOP-Pflichten des DSA gelten würden. Im März 2024 hatten die Plattformen noch gegen ihre Einstufung als VLOP Klage beim EuGH erhoben.
• 18. April 2024: Zalando hat eine weitere Klage im Zusammenhang mit dem DSA gegen die Kommission beim EuGH erhoben. Zusätzlich zu dem bereits laufenden Verfahren von Zalando gegen die Einstufung als VLOP richtet sich die neue Klage nun gegen die Berechnung der Aufsichtsgebühren, die Zalando als VLOP gemäß Art. 43 DSA auferlegt werden (zur Berechnung der VLOP-Gebühren allgemein siehe diesen CMS-Blog). Der Klage vorangegangen waren zwei förmliche Auskunftsersuchen der Kommission zur Berechnungsgrundlage. Die Höhe der Aufsichtsgebühren richtet sich insbesondere auch nach der Anzahl der aktiven monatlichen Nutzer der Plattform. Diese Anzahl ist auch für die Einstufung als VLOP entscheidend. Zalando bemängelt, dass für die Einstufung als VLOP eine andere Anzahl monatlich aktiver Nutzer zugrunde gelegt worden sei als für die Berechnung der Aufsichtsgebühr.
• 8. April 2024: Die Zentrale zur Bekämpfung unlauteren Wettbewerbs Frankfurt am Main e. V. (Wettbewerbszentrale) hat die irische Plattform Etsy (Etsy Ireland UC) vor dem OLG Frankfurt a. M. auf Unterlassung in Anspruch genommen. Gegenstand ist neben vermeintlicher lauterkeitsrechtlicher Verstöße gegen Transparenzpflichten insbesondere der Vorwurf fehlender Pflichtinformationen, die der Online-Marktplatz gemäß Art. 30 DSA über die Verkäufer vorhalten muss, z.B. Adress- und Kontaktdaten.
• 27. März 2024: Der EuGH hat einen Antrag von Amazon auf Aussetzung der Pflicht, öffentlich ein Werbearchiv zugänglich zu machen (Art. 39 DSA), zurückgewiesen. Zuvor hatte der EuG diesem Antrag im einstweiligen Rechtsschutzverfahren stattgegeben, wogegen die Kommission Rechtsmittel eingelegt hatte. Der EuGH entschied nun, dass die vom Unionsgesetzgeber vertretenen Interessen den materiellen Interessen von Amazon vorgingen, weshalb die Abwägung zugunsten der Zurückweisung des Aussetzungsantrags ausfalle. Amazon habe unter anderem nicht dargelegt, dass die Existenz oder die langfristige Entwicklung von Amazon auf dem Spiel stünde. Gleichzeitig würde die Aussetzung dazu führen, dass die vollständige Erreichung der DSA-Ziele möglicherweise über mehrere Jahre hinausgeschoben würden, was eine Bedrohung für Grundrechte darstellen würde. Eine Entscheidung im Hauptsachverfahren, in dem Amazon gegen die Einstufung als VLOP vorgeht, steht noch aus. 
• 26. März 2024: Die Kommission hat Leitlinien für Risikominderungsmaßnahmen von VLOPs und VLSEs bei Wahlprozessen vorgestellt. Diese Leitlinien sollen dazu beitragen, die Integrität und Transparenz von Wahlen in der gesamten EU zu gewährleisten, insbesondere mit Blick auf die Europawahl im Juni 2024. In den Leitlinien werden eine Reihe von Abhilfemaßnahmen und bewährten Verfahren empfohlen. Für Ende April 2024 ist ein Stresstest mit den einschlägigen Interessenträgern geplant. 
• 26. März 2023: Der Verbraucherzentrale Bundesverband (vzbv) hat den Online-Marktplatz Temu abgemahnt. Neben vermeintlich irreführenden Rabatten bemängelt der vzbv insbesondere den Einsatz unzulässiger Dark Patterns i.S.d. Art. 25 DSA. Politiker der Ampelkoalition fordern die zuständigen irischen Behörden zum Einschreiten gegen Temu auf.
• 21. März 2024: Der Bundestag hat das DDG verabschiedet. Mit Stimmen der Ampelkoalition wurde eine vom Ausschuss für Digitales geänderte Fassung des Gesetzes beschlossen. Diese Fassung enthält im Vergleich zum vorherigen Gesetzentwurf u.a. Konkretisierungen zu den Anforderungen an die Leitung der Bundesnetzagentur als Digital Services Coordinator (DSC). Das DDG wird nun dem Bundesrat vorgelegt, dessen Zustimmung für das Einspruchsgesetz jedoch nicht erforderlich ist. Wann das Gesetz in Kraft tritt, ist derzeit noch nicht genau absehbar. 
• 14. März 2024: Die Kommission stellt ein förmliches Auskunftsersuchen an LinkedIn. Gegenstand des Auskunftsersuchens ist u.a. der Vorwurf von Werbung, die auf Profiling unter Verwendung besonderer Kategorien personenbezogener Daten beruht. LinkedIn muss außerdem informieren, wie es sicherstellt, dass seinen Nutzern alle erforderlichen Transparenzanforderungen für Anzeigen zur Verfügung gestellt werden. Die Plattform muss die geforderten Informationen bis zum 5. April 2024 vorlegen. Anlass des Auskunftsersuchens waren Beschwerden der Bürgerrechtsorganisationen European Digital Rights (EDRi), der Gesellschaft für Freiheitsrechte (GFF) sowie Global Witness und Bits of Freedom.
• 14. März 2024: Die Kommission richtet förmliches Auskunftsersuchen an 6 VLOPs und 2 VLSEs. Die 6 VLOPs (Facebook, Instagram, Snapchat, TikTok, YouTube und X) und 2 VLSEs (Bing, Google Search) sollen laut dem Ersuchen Auskunft zu den Maßnahmen geben, die sie zur Eindämmung von Risiken in Bezug auf von KI erstellte falsche Informationen im Zusammenhang mit Wahlen ergreifen. Dabei geht es insbesondere um die Vermeidung der viralen Verbreitung von Deepfakes und der automatischen Manipulation von Diensten, die Wähler in die Irre führen können. Die Kommission fordert außerdem Informationen und interne Dokumente über die Risikobewertung bzw. Risikominderung zu den Themen Auswirkung generativer KI auf Wahlprozesse, Verbreitung illegaler Inhalte, Schutz der Grundrechte, Maßnahmen gegen geschlechtsspezifische Gewalt, Schutz von Minderjährigen, psychisches Wohlbefinden, Schutz personenbezogener Daten, Verbraucherschutz und geistiges Eigentum. Die Fragen beziehen sich dabei auf die Erstellung und die Verbreitung der generativen KI-Inhalte.
• 14. März 2024: Die Kommission hat gegen die VLOP AliExpress (Alibaba Group) ein förmliches Verfahren eingeleitet. Gegenstand ist der Verdacht, dass AliExpress gegen diverse DSA-Sorgfaltspflichten verstoße. Aufgrund der bereits erfolgten vorläufigen Untersuchungen der Kommission und der von AliExpress eingereichten Informationen wird nun die Einhaltung der verschiedenen Sorgfaltspflichten geprüft. Hierbei geht es u.a. um die Bewertung und Minderung der systemischen Risiken bei der Verbreitung illegaler Inhalte, die Meldung illegaler Inhalte, das interne Beschwerdemanagementsystem, die Gestaltung von Empfehlungssystemen sowie den Zugang von Forschern auf die öffentlich zugänglichen Daten von AliExpress.
• 8. März 2024: Berichten des Nachrichtenportals EURACTIV zufolge gehen nun auch die Betreiber der drei Porno-Plattformen Pornhub (Aylo Freesites Ltd.), XVideos (WebGroup Czech Republic) und Stripchat (Technius Ltd.) gegen ihre Einstufung als sehr große Online-Plattformen (VLOPs) und die damit einhergehenden Pflichten vor. Die drei Plattformen waren erst Ende 2023 als VLOPs eingestuft worden. Damit stellen sich die drei Plattformen in die Reihe von Amazon und Zalando, die auch bereits gegen ihre Stellung als VLOPS und den Pflichten vorgehen.
• 5. März 2024: Die BNetzA veröffentlicht die von ihr als zukünftiger Digital Services Coordinator (DSC) in Auftrag gegebene Studie „Umsetzung des Digital Services Act in Deutschland –  Bestandsaufnahme der relevanten Akteure″ des Unternehmens Possible Digital (vormals Public Deutschland). Die 120 Seiten umfassende Zusammenfassung der Studie enthält u.a. eine Typologisierung der digitalen Dienste und unterscheidet – ausgehend von der Struktur des DSA – zwischen neun verschiedenen Typen digitaler Dienste. Außerdem werden neben weiteren ausführlichen Informationen die für den deutschen DSC relevanten Anbieter digitaler Dienste identifiziert (insgesamt rund 4.500) und nach den o.g. Typen kategorisiert aufgelistet.
• 1. März 2024: Die Kommission hat ein weiteres förmliches Auskunftsersuchen an Meta gerichtet. Es geht insbesondere um die Maßnahmen, die Meta ergriffen hat, um seinen DSA-Verpflichtungen (insb. bzgl. Ranking, Empfehlungssystem, Risikobewertung) bei Facebook und Instagram im Zusammenhang mit der Einführung des werbefreien Abos nachzukommen. Die Fragen bauen u.a. auf den Antworten von Meta auf, die Meta anlässlich des letzten Auskunftsersuchens im Oktober 2023 gegeben hatte. Meta hat bis Mitte März Zeit zur Beantwortung.
• 21. Februar 2024: Im Rahmen der öffentlichen Anhörung des Ausschusses für Digitales des Bundestages (1. Lesung) äußerten sich geladene Sachverständige vom Bitkom e.V., vzbv, BVDW, Leibniz-Institut für Medienforschung, Uni Mannheim, Lfm NRW, AlgorithmWatch, GFF, BNetzA zum aktuellen Entwurf des DDG. Der Entwurf wurde überwiegend begrüßt, allerdings wurden einzelne Punkte auch kritisch hinterfragt und Nachbesserungsbedarf aufgezeigt. Letzteres betrifft insbesondere die Gestaltung der nationalen Aufsicht und deren finanziellen Mittel. Die Sitzung wurde aufgezeichnet und kann hier abgerufen werden. Eine Zusammenfassung sowie die schriftlichen Stellungnahmen der Sachverständigen sind hier abrufbar.
• 19. Februar 2024: EU-Kommission leitet förmliches Verfahren wegen eines möglichen DSA-Verstoßes gegen TikTok ein. Dabei geht es laut Pressemitteilung der Kommission um verschiedene Themen, u.a. „Jugendschutz, Transparenz bei Werbung, Datenzugang für Forscher sowie Risikomanagement in Bezug auf süchtig machendes Design und schädliche Inhalte.“ Möglich seien Verstöße gegen Art. 25, 34, 35, 39 und 40 DSA. Die Einleitung des förmlichen Verfahrens sei ergebnisoffen und ziele vorrangig auf die Durchführung einer „eingehenden Untersuchung“ der im Raum stehenden Vorwürfe.
• 16. Februar 2024: Die Europäische Kommission veröffentlicht eine Pressemitteilung zum „offiziellen Start“ des DSA. Daraus geht u.a. hervor, dass das „Europäische Gremium für digitale Dienste“ erstmals am 19. Februar tagen wird. Bei dem Gremium handelt es sich um eine unabhängige Beratungsgruppe, die sich aus den DSCs der Mitgliedstaaten zusammensetzt. Zudem werden als „next steps“ angekündigt, dass (i) die Kommission im März 2024 Leitlinien für Risikominderungsmaßnahmen bei Wahlprozessen annehmen wird, (ii) voraussichtlich im April eine öffentliche Konsultation zu einem delegierten Rechtsakt bzgl. Datenzugang nach dem DSA stattfinden wird, und (iii) die Kommission für Mai die Annahme eines Durchführungsrechtsakts bzgl. Muster für Transparenzberichte plant. 
• 15. Februar 2024: AlgorithmWatch kündigt an, unmittelbar mit Geltung des gesamten DSA einen Datenantrag beim deutschen DSC (lt. DDG-E eine weitestgehend unabhängige Einrichtung innerhalb der BNetzA) einzureichen, um von Microsoft Informationen zur KI-gestützten Suchmaschine Bing zu erhalten (vgl. Art. 40 Abs. 4 iVm Art. 34 Abs. 1 lit. c DSA). Hintergrund sei, dass die entsprechende Chat-Funktion auf Fragen zu den Wahlen in Bayern, Hessen und Schweiz im Oktober 2023 mit sachlich falschen Antworten reagiere. Dies berge Risiken für demokratische Wahlen. Zur Erinnerung: Viele, aber nicht alle Pflichten des DSA gelten für VLOPs/VLSEs bereits seit dem 16. November 2023. Ab dem 17. Februar 2024 gelten dann alle Pflichten, einschl. der Pflicht zum Datenzugang und Kontrolle (Art. 40).
• 12. Februar 2024: Die u.a. für den DSA zuständige irische Aufsichtsbehörde Coimisiún na Meán hat „Guidance and Application Forms″ veröffentlicht für die Registrierung als „Außergerichtliche Streitbeilegungsstelle″ (Art. 21 Abs. 3 DSA) sowie für die Registrierung als „Vertrauenswürdiger Hinweisgeber“ („Trusted Flagger“, Art. 22 Abs. 2 DSA). Die Entscheidungen der Coimisiún na Meán haben besondere Bedeutung aufgrund der in Irland niedergelassenen Hostingdiensteanbieter und der Auswirkungen auf alle Mitgliedsstaaten (u.a. „Forum-Shopping“).
• 8. Februar 2024: ⁠Kommission leitet Konsultationsverfahren zur Vorbereitung von Leitlinien zur Risikominderungspflicht von VLOPs/VLSEs ein (Art. 35 DSA). Die Leitlinien sollen insbesondere Best Practices und Risikominderungsmaßnahmen für VLOPs/VLSEs für demokratische Wahlen beinhalten. Hierzu EU-Kommissar Thierry Breton: “2024 is a significant year for elections. That is why we are making full use of all the tools offered by the DSA to ensure platforms comply with their obligations and are not misused to manipulate our elections, while safeguarding freedom of expression.” Rückmeldungen zum ⁠Leitlinienentwurf sind bis zum 7. März 2024 möglich.
• 8. Februar 2024: Die von der Kommission als VLOPs benannten Unternehmen Meta (Facebook und Instagram) und TikTok haben vor dem EuG Klage gegen die ihnen auferlegten Aufsichtsgebühren (Art. 43 DSA sowie den CMS Blog hierzu) erhoben. Die Abgaben seien unfair, da einige VLOPs/VLSEs wesentlich geringere oder gar keine Gebühren zahlen müssten, während Plattformen wie Facebook / Instagram einen unverhältnismäßig hohen Anteil der Gesamtkosten zu tragen hätten.
• 8. Februar 2024: Der Thinktank Stiftung Neue Verantwortung (SNV) veröffentlicht unter dem Titel „The Digital Services Act is in effect – now what?“ eine umfangreiche Analyse zum aktuellen Stand des DSA (vollständige Analyse als PDF auf Englisch; Executive Summary auf Deutsch). Im Fokus der Analyse steht insbesondere die Rolle der nationalen Koordinatoren für digitale Dienste („Digital Services Coordinator“, DSC) als wichtigste Kontaktstelle und Aufsichtsbehörde zur effektiven Umsetzung der Ziele des DSA.
• 2. Februar 2024: Der Bundesrat berät im Plenum seine Stellungnahme zum DDG-E. Kritikpunkte sind u.a. die Übertragung der Zuständigkeit für datenschutzrechtliche Fragen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), da nach Ansicht des Bundesrates die Aufsichtsbehörden der Länder zuständig seien. Außerdem erwägt der Bundesrat, in das DDG einen Katalog an meldepflichtigen Straftatbeständen aufzunehmen, wie es bereits das NetzDG vorsah, um so Verschlechterungen bei der Meldung und Löschung dieser Inhalte zu vermeiden. Zur Erinnerung: Beim DDG handelt es sich um ein Einspruchsgesetz. D.h. die Zustimmung des Bundesrates ist nicht erforderlich und der Bundestag kann einen Einspruch des Bundesrates überstimmen.
• 29. Januar 2024: Die gemeinnützige NGO AlgorithmWatch nimmt Stellung zum DDG-E. Die NGO empfiehlt insbesondere, ein einfaches und effektives Beschwerdesystem sicherzustellen, den vorgesehenen Forschungsetat aufzustocken, den Katalog der Straftaten klarer einzugrenzen sowie die Beteiligung von Zivilgesellschaft und Wissenschaft über einen Beirat hinaus zu denken und auf Wirkung auszurichten.
• 29. Januar 2024: Der Verbraucherzentrale Bundesverband (vzbv) veröffentlicht Stellungnahme zum DDG-E. Darin fordert der vzbv u.a., dass Online-Plattformen und Suchmaschinen mit Sitz außerhalb der EU verpflichtet werden, einen inländischen Zustellungsbevollmächtigten zu bestellen. Zudem soll die Leitung der Koordinierungsstelle für digitale Dienste „über einschlägige Erfahrung und Kenntnisse im Bereich Plattformwirtschaft verfügen“ und die Personal- und Sachmittelausstattung der Koordinierungsstelle „kritisch überprüft“ werden. 
• 25. Januar 2024: Der gemeinnützige Verein „Gesellschaft für Freiheitsrechte“ (GFF), der den Erhalt und den Ausbau der Grund- und Menschenrechte zum Ziel hat, hat das „Center for User Rights“ eröffnet. Hiermit will der GFF insbesondere strategische Klagen zur Durchsetzung des DSA im Rahmen der Vertretung i.S.d. Art. 86 DSA anstreben.
• 19. Januar 2024: Der einflussreiche IT- und Kommunikationsindustrieverband CCIA (Computer and Communications Industry Association) fordert in einem öffentlichen Schreiben an die Kommission eine mehrmonatige „Schonfrist“ für Online-Plattformen hinsichtlich der Pflicht zur Einbindung in die Transparenzdatenbank. Viele Mitglieder hätten bislang trotz mehrfacher Nachfragen noch keinen Zugang erhalten. Zudem kursierten widersprüchliche Informationen. Schließlich seien in vielen EU-Mitgliedsstaaten (wie u.a. in Deutschland) noch nicht einmal die zuständigen Behörden benannt und eingerichtet.
• 18. Januar 2024: DDG-E zur ersten Lesung im Deutschen Bundestag. Das DDG ist das deutsche Umsetzungsgesetz zum DSA und beinhaltet unter anderem Zuständigkeitsregelungen und OWi-Tatbestände zur Sanktionierung von DSA-Verstößen.
• 18. Januar 2024: Kommission schickt 17 VLOP und VLSE förmliches Auskunftsersuchen dazu, wie diese den berechtigten Forschenden gemäß Art. 17 DSA unverzüglich Zugang zu den Daten gewähren, die über deren Online-Schnittstellen öffentlich zugänglich sind. 
• 21. Dezember 2023: Kommission veröffentlicht laufend aktualisierten Überblick zu den benannten VLOP und VLSE sowie zu den wichtigsten Durchsetzungsmaßnahmen gegen diese.
• 20. Dezember 2023: Kommission veröffentlicht die Benennungsbeschlüsse für die ersten VLOPs und VLSEs . Die Benennungsbeschlüsse folgen einem formellen Prüfverfahren, das die Kommission nach der Veröffentlichung der Nutzerzahlen durch die Online-Plattformen durchgeführt hat.
• 20. Dezember 2023: Kommission benennt mit Pornhub, Stripchat und XVideos drei weitere VLOPs. Damit sind aktuell insgesamt 20 VLOPs und VLSEs benannt.
• 19. Dezember 2023: Die Kommission veröffentlicht ein offizielles Q&A zum DSA. Darin werden folgende Themenblöcke behandelt: „Allgemeine Informationen zum DSA“, „Auswirkungen auf die Nutzer“, „Auswirkungen auf die Unternehmen“, „Auswirkungen auf die Mitgliedstaaten“, „Europäisches Zentrum für die Transparenz der Algorithmen“, und „der Durchsetzungsrahmen“.
• 18. Dezember 2023: Kommission eröffnet erstmals ein förmliches Verfahren unter dem DSA gegen die Social-Media-Plattform X (ehemals Twitter). Geprüft wird, ob X in den Bereichen Risikomanagement, Inhaltsmoderation, Dark Patterns, Werbetransparenz und den Zugang zu Daten für Forscherinnen und Forscher gegen den DSA verstoßen hat. 
• 14. Dezember 2023: Kommission sendet ein Auskunftsersuchen an Apple und Google. Damit fordert die Kommission diese Anbieter auf, weitergehende Informationen darüber vorzulegen, wie etwaige systemische Risiken auf den (Apple) App Store und Google Play ermittelt wurden.
• 8. Dezember 2023: Kommission startet eine Initiative für die Erstellung verbindlicher Muster für Transparenzberichte nach dem DSA. Dieses Muster soll im ersten Quartal 2024 in Gestalt einer Durchführungsverordnung veröffentlicht werden.
• 26. Oktober 2023: Erste VLOPs / VLOSEs veröffentlichen DSA-Transparenzberichte. Diese Berichte müssen u.a. Informationen zur Moderation von Inhalten auf den Plattformen und zum Einsatz von automatisierten Systemen enthalten. Die Transparenzberichte dienen der öffentlichen Kontrolle und Rechenschaftspflicht der VLOPs / VLOSEs. 
• 23. Oktober 2023: Kommission unterzeichnet Vereinbarungen mit französischen und irischen Medienbehörden, um die Durchsetzung des DSA zu fördern. Dies soll insbesondere dem Informationsaustausch zwischen den zuständigen nationalen Behörden und der Kommission dienen.
• 20. Oktober 2023: Kommission veröffentlicht eine neue delegierte Verordnung zum DSA zu „unabhängigen Prüfungen“. Damit wird ein Rechtsrahmen geschaffen, der Anbietern von VLOPs / VLOSEs sowie Prüfern bei der Ausarbeitung und Herausgabe von Prüfberichten und Durchführungsberichten Orientierung bietet.
• 18. Oktober 2023: Kommission veröffentlicht eine Empfehlung zur „Koordinierung der Reaktion auf Sicherheitsvorfälle, die sich insbesondere aus der Verbreitung illegaler Inhalte ergeben“. Ziel ist es, die Mitgliedstaaten zu einer zeitnahen Umsetzung des DSA anzuhalten, damit illegale Inhalte wie illegale Hetze nicht zu einer ernsthaften Bedrohung der öffentlichen Sicherheit führen.
• 27. September 2023: EuG veröffentlicht einen Beschluss zum einstweiligen Rechtsschutzbegehren von Amazon Store auf Aussetzung der Entscheidung der Kommission, Amazon als VLOP im Sinne des DSA zu benennen. Darin wurde die Entscheidung der Kommission insoweit vorläufig ausgesetzt, als Amazon Store aufgrund dieser Entscheidung verpflichtet wäre, ein Online-Werbearchiv gemäß Art. 39 DSA öffentlich zugänglich zu machen (siehe auch hier).
• 26. September 2023: Kommission veröffentlicht eine Transparenzdatenbank, in der Begründungsschreiben von Hostingdiensten gesammelt werden können, die gehostete Inhalte auf ihren Schnittstellen beschränken.
• 2. März 2023: Kommission legt in einer delegierten Verordnung die Aufsichtsgebühren für VLOPs und VLOSEs fest. Darin werden die Methodik und das Verfahren für die Berechnung und Erhebung der nach dem DSA geschuldeten Aufsichtsgebühren festgelegt. Zudem sind weitere Einzelheiten zur Bestimmung der geschätzten Gesamtkosten enthalten (siehe auch hier).
• 31. Januar 2023: Kommission veröffentlicht „Leitlinien zur Verpflichtung zur Veröffentlichung von Benutzernummern“. Dabei geht es insbesondere um die Frage, wann ein Nutzer als „aktiver Nutzer“ im Sinne des DSA zu werten ist (siehe auch hier).

Bleiben Sie mit unserem CMS Blog zu Neuigkeiten rund um den DSA auf dem Laufenden. Sie können diesen Blog-Beitrag hier über den RSS-Feed abonnieren.

Der Beitrag DSA News Hub – Aktuelles zum Digital Services Act erschien zuerst auf CMS Blog.

KI ist aus der modernen Arbeitswelt nicht mehr wegzudenken und beeinflusst viele Bereiche, von der Automatisierung in der Fertigung bis zur Datenanalyse im Marketing. Sie steigert die Effizienz, verbessert die Entscheidungsfindung und ermöglicht neue Wege der Problemlösung.

Im Arbeitsschutz bietet KI Potenzial, Arbeitsplätze sicherer zu machen und Unfälle zu vermeiden. Jedoch bringt die Integration von KI auch Herausforderungen mit sich, darunter physische Risiken und psychosoziale Belastungen wie Überwachungsdruck und Jobverlustängste durch Automatisierung. 

Dieser Artikel betrachtet sowohl die Chancen als auch die Risiken des Einsatzes von KI in Bezug auf Arbeitsschutz.

Einsatzmöglichkeiten von KI im Arbeitsschutz

KI-Systeme reichen von einfachen Lernalgorithmen bis hin zu fortschrittlichen Technologien und verbessern die Arbeitssicherheit durch effektivere Überwachung, proaktive Gefahrenerkennung und präventive Maßnahmen. Beispiele umfassen die Müdigkeitserkennung bei Arbeitnehmern*, automatisierte Risikobewertungen und Wearables zur Gesundheitsüberwachung.

Die European Agency for Safety and Health at Work hebt hervor, dass KI-basierte Systeme Arbeitsunfälle und Berufskrankheiten reduzieren können, indem sie Gefährdungen besser erkennen und beurteilen. KI ermöglicht zudem detaillierte Gefährdungsbeurteilungen durch die Analyse und Übertragung existierender Daten auf neue Bewertungen, wodurch Risikofaktoren identifiziert und präventive Sicherheitsmaßnahmen eingeleitet werden. Darüber hinaus unterstützen KI-Systeme die psychische Gesundheit durch Erkennung von Überarbeitungszeichen und ermöglichen adaptives E-Learning. Kollaborative Roboter (Cobots) und persönliche Schutzausrüstungen (PSA), die mit KI ausgestattet sind, können gefährliche Aufgaben übernehmen und kontinuierlich Gesundheitsrisiken überwachen, was die Arbeitssicherheit weiter verbessert.

Psychische Gefahren

Der Einsatz von KI im Unternehmen bringt sowohl psychische als auch physische Herausforderungen mit sich. Die ständige Überwachung durch KI kann dazu führen, dass sich Mitarbeiter kontinuierlich beobachtet und bewertet fühlen, was zu hohem Leistungsdruck, Angstzuständen und Burnout führen kann. Zudem weckt die Automatisierung durch fortschrittliche KI-Systeme bei vielen die Furcht, durch Maschinen ersetzt zu werden, was psychischen Stress und eine Verringerung der Produktivität zur Folge haben kann. Weiterhin erfordert die fortwährende Anpassung an neue Technologien und Arbeitsweisen eine hohe geistige Flexibilität und Lernbereitschaft, was überwältigend sein und zu Überforderung und Stresssymptomen führen kann. 

Physische Gefahren

KI-gesteuerte Maschinen führen neben traditionellen Risiken zu neuen physischen Gefahren durch ihre Fähigkeit, autonom zu agieren, was bei unzureichender Überwachung und fehlerhaften Algorithmen zu unvorhersehbaren Aktionen führen kann. Dies kann die physische Sicherheit von Mitarbeitern gefährden, beispielsweise durch fehlerhafte Maschinenbedienung oder unkontrollierte Interaktionen mit Robotern. Zudem bergen Zuverlässigkeitsprobleme von KI-Systemen das Risiko von Ausfällen und Fehlfunktionen, die zu Betriebsunterbrechungen und physischen Gefahren führen können, besonders in hochautomatisierten Umgebungen. Psychische Belastungen durch KI können sich zudem körperlich manifestieren, was zu Symptomen wie Kopfschmerzen, Herz-Kreislauf-Problemen und anderen stressbedingten Erkrankungen führt, die die Lebensqualität und psychische Gesundheit weiter beeinträchtigen

Maßnahmen zur Reduzierung der psychischen und physischen Gefahren

Um psychologische Auswirkungen zu mindern, sind transparente Kommunikation, Weiterbildung und Umschulung sowie Maßnahmen gegen Anpassungsstress wichtig. Transparente Kommunikation hilft, die Sorgen der Mitarbeiter bezüglich KI-Einführung zu adressieren und eine Kultur des Vertrauens zu fördern. Weiterbildungs- und Umschulungsangebote sind entscheidend, um die Mitarbeiter auf die Veränderungen durch KI vorzubereiten und deren Ängste vor Jobverlust zu mindern. Strategien gegen Anpassungsstress, wie ausreichende Fortbildungsangebote und die Förderung einer gesunden Work-Life-Balance, sind ebenfalls essentiell, um den Anforderungen des modernen Arbeitslebens gerecht zu werden und eine gesunde Arbeitsumgebung zu schaffen.

Die Bewältigung der physischen Herausforderungen, die der Einsatz von KI mit sich bringt, erfordert eine umfassende Risikoanalyse und die Entwicklung von Risikominderungsstrategien. Die physische Sicherheit wird durch die Entwicklung spezifischer Sicherheitsstandards, regelmäßige Wartung und technische Überwachung der KI-Systeme sichergestellt. Dies umfasst Risikoanalysen, Echtzeit-Überwachungs- und Alarmierungssysteme, regelmäßige Sicherheitsschulungen und einen kontinuierlichen Verbesserungsprozess. Die Wartung beinhaltet die Überprüfung von Hardware und Software, Updates, Optimierung der Systeme und die Implementierung von Früherkennungssystemen für Fehlfunktionen.

Chancen nutzen, Risiken minimieren

Die fortschreitende Integration von KI in den Arbeitsalltag birgt sowohl revolutionäre Chancen als auch signifikante Risiken. KI hat das Potenzial, die Arbeitssicherheit durch innovative Technologien und verbesserte Gefahrenerkennung maßgeblich zu erhöhen, doch gleichzeitig stellt sie neue Anforderungen an die psychische und physische Resilienz der Belegschaft. Die erfolgreiche Implementierung von KI im Arbeitsschutz erfordert daher nicht nur technische Anpassungen, sondern auch eine umfassende Betrachtung der menschlichen Faktoren. Es gilt, durch proaktive Schulungen, klare Kommunikation und umsichtige Führungspraktiken eine Kultur zu schaffen, die sowohl die technologischen als auch die menschlichen Aspekte berücksichtigt. Nur durch das Gleichgewicht zwischen Mensch und Maschine können wir sicherstellen, dass die Vorteile der KI vollständig genutzt werden, ohne die Sicherheit und das Wohlbefinden der Mitarbeiter zu kompromittieren.

This article is also available in English.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Künstliche Intelligenz und Arbeitsschutz – Chancen und Risiken erschien zuerst auf CMS Blog.

Zu Beginn dieses Jahres und zum Ende des Jahres 2023 hat der Gerichtshof der Europäischen Union (EuGH) mehrere Entscheidungen zu der maßgeblichen datenschutzrechtlichen Schadensersatznorm Art. 82 der Europäischen Datenschutz-Grundverordnung (DSGVO) veröffentlicht, in denen der EuGH die Voraussetzungen des Art. 82 DSGVO in wichtigen und bis dahin umstrittenen Punkten konkretisiert. Damit setzt der EuGH auf sein Urteil vom 4. Mai 2023 (C-300/21) auf und führt die dort begonnene Auslegung von Art. 82 DSGVO fort, die wir in diesem Beitrag beleuchten wollen.

Die laut EuGH wesentlichen Aspekte zum Anspruch aus Art. 82 DSGVO lassen sich wie folgt zusammenfassen:

• Nicht jeder Verstoß gegen die Vorschriften der DSGVO löst automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO aus. Der betroffenen Person muss ein materieller oder immaterieller Schaden entstanden sein, den diese nachzuweisen hat.
• Der Begriff des Schadens ist weit auszulegen. Der Anspruch auf Ersatz immaterieller Schäden setzt keinen spürbaren Nachteil voraus. 
• Art. 82 DSGVO weist keine Erheblichkeitsschwelle oder Bagatellgrenze auf, die durch den Schaden überschritten sein müsste.
• Die Befürchtung des Missbrauchs personenbezogener Daten kann ein ersatzfähiger immaterieller Schaden sein. Im Falle der Befürchtung des Datenmissbrauchs durch Dritte als Schaden, muss die betroffene Person nachweisen, dass diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die eigene Person als begründet angesehen werden kann. 
• Eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO ist nur in engen Grenzen möglich.
• Die DSGVO enthält keine Regelungen zur Bemessung der Höhe des als Schadensersatz zu leistenden Betrags, sodass die nationalen Gerichte unter Beachtung der unionsrechtlichen Äquivalenz- und Effektivitätsgrundsätze die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten anwenden. Zur Bemessung der Höhe einer zu leistenden Entschädigung verlangt Art. 82 DSGVO nicht, dass dabei der Grad des Verschuldens oder die Anzahl der DSGVO-Verstöße des Verantwortlichen gegenüber dem Betroffenen berücksichtigt werden.
• Art. 82 DSGVO kommt eine Ausgleichs- und keine Abschreckungs- oder Straffunktion zu.

Aufgrund der hohen Praxisrelevanz wollen wir in diesem Beitrag einen genaueren Blick auf jedes einzelne der EuGH-Urteile werfen. Die letzte Aktualisierung erfolgte am 17. April 2024.

Urteil vom 11. April 2024 (C‑741/21): Immaterieller Schaden aufgrund von Werbung ohne Einwilligung?

In einem der Verfahren ging es um die Übersendung von drei Werbeschreiben an den Betroffenen ohne dessen Einwilligung. Dieser gab außerdem einen sich auf der Werbung befindlichen Code in dem Online-Shop der Beklagten ein, woraufhin eine Bestellmaske mit voreingetragenen personenbezogenen Daten des Betroffenen erschien, und verlangte Ersatz eines materiellen Schadens wegen entstandener Gerichtsvollzieher- und Notarkosten sowie eines immateriellen Schadens. Aufgrund der Vorlage des LG Saarbrücken (Beschluss v. 22. November 2021 – 5 O 151/19) hat der EuGH mit Urteil vom 11. April 2024 (C‑741/21) zunächst im Wesentlichen seine vorhergegangene Rechtsprechung dahingehend bestätigt, dass nicht jeder DSGVO-Verstoß automatisch einen immateriellen Schaden darstellt und dass der für Bußgelder geltende Art. 83 DSGVO nicht für die Bemessung des Schadensersatzanspruchs nach Art. 82 DSGVO herangezogen werden kann. 

EuGH: Haftungsbefreiung nur in sehr engen Grenzen möglich

Interessant sind die Ausführungen des EuGH zu Art. 82 Abs. 3 DSGVO und der Haftungsbefreiung des Verantwortlichen. Hierzu hat der Gerichtshof entschieden, dass es für eine Befreiung nicht ausreiche, wenn der Verantwortliche geltend macht, ein Schaden sei durch das Fehlverhalten einer dem Verantwortlichen gemäß Art. 29 DSGVO unterstellten Person, z.B. eines Arbeitnehmers*, verursacht worden. In dem Weisungsverhältnis habe sich der Verantwortliche hinsichtlich der korrekten Befolgung der Weisungen durch die Mitarbeiter zu vergewissern, sodass sich der Verantwortliche nicht durch ein Berufen auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person gemäß Art. 82 Abs. 3 DSGVO von der Haftung befreien könne. Eine andere Auslegung unterliefe dem Gericht zufolge die praktische Wirksamkeit des Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO.

Anzahl von DSGVO-Verstößen kein relevantes Kriterium bei der Bemessung des Schadensersatzes

Eine weitere Vorlagefrage des Saarbrückener Gerichts an den EuGH bezieht sich auf die Höhe eines zu leistenden Schadensersatzes. Da dem DSGVO-Schadensersatz keine Straf- oder Abschreckungsfunktion zukomme, sondern entsprechend des Erwägungsgrundes 146 DSGVO ein vollständiger und wirksamer Schadensersatz als Ausgleich für den erlittenen Schaden sichergestellt werden soll, dürfe die Anzahl von DSGVO-Verstößen des Verantwortlichen gegenüber dem Betroffenen kein relevantes Kriterium bei der Bemessung der Höhe des Schadensersatzes darstellen. Zu ersetzen sei allein der dem Betroffenen konkret entstandene oder von diesem erlittene Schaden, wobei es Aufgabe der nationalen Gerichte sei, hierfür Kriterien zu entwickeln. Ob und in welcher Höhe das LG Saarbrücken dem Kläger nun einen Schadensersatzanspruch zusprechen wird, hängt auch von dessen Darlegung hinsichtlich des erlittenen immateriellen Schadens ab.

Urteil vom 25. Januar 2024 (C-687/21): Kein Schadensersatz bei rein hypothetischem Risiko des Datenmissbrauchs und nachweislich nicht erfolgter Kenntnisnahme durch unbefugten Dritten

Mit dem Urteil vom 25. Januar 2024 (C-687/21) hat der EuGH auf Vorlage des Amtsgerichts (AG) Hagen aus dem Herbst 2021 Auslegungsfragen zu Art. 82 DSGVO geklärt und die Rechtssicherheit für Unternehmen erhöht. In dem Sachverhalt, der den durch den EuGH zu entscheidenden Vorlagefragen zugrunde lag, wurden bei einer Warenausgabe nach dem Kauf eines Elektrogeräts versehentlich personenbezogene Daten des Käufers auf einem Ausdruck (Name, Anschrift, Wohnort, Arbeitgeber, Einkünfte und Bankdaten) durch einen Mitarbeiter des Unternehmers an einen Dritten herausgegeben, der sich unbemerkt vorgedrängelt hatte und deswegen fälschlicherweise die ausgedruckten Unterlagen sowie das an den Betroffenen verkaufte Gerät erhielt. Schon innerhalb der darauffolgenden halben Stunde wurde der Irrtum bemerkt und sowohl die Unterlagen als auch das Elektrogerät fanden ihren Weg zurück und konnten dem eigentlichen Käufer ausgehändigt werden.

Der Käufer verlangte sodann gemäß Art. 82 DSGVO Ersatz eines immateriellen Schadens, den er in dem Risiko des Kontrollverlusts hinsichtlich der seine Person betreffenden Daten sah. Das Angebot der kostenlosen Lieferung des erworbenen Elektrogeräts an seine Adresse als Wiedergutmachung schlug er aus. Das Unternehmen verneinte bereits das Vorliegen eines DSGVO-Verstoßes und sah keinen ersatzfähigen Schaden aufgrund fehlender Erheblichkeit und weil der Dritte die erhaltenen Daten nicht missbräuchlich verwendet habe. Der EuGH hatte bereits mehrfach entschieden, dass ein Schaden keine Erheblichkeitsschwelle voraussetzt (erstmals mit Urteil v. 4. Mai 2023 (C-300/21)). Zu den weiteren vom AG Hagen vorgelegten Fragen möchten wir die folgenden Aspekte hervorheben.

Datenweitergabe an unbefugten Dritten bedeutet nicht automatisch Ungeeignetheit der getroffenen TOM

Das AG Hagen wollte wissen, ob ein DSGVO-Verstoß vorliegt, wenn Mitarbeiter des Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergeben. In Betracht kommt insoweit ein Verstoß aufgrund ungeeigneter technischer und organisatorischer Maßnahmen (TOM) nach Art. 24 und Art. 32 DSGVO. Der EuGH verneinte, dass allein aufgrund der unberechtigten Weitergabe ein Verstoß gegen Art. 5, Art. 24, Art. 32 DSGVO vorliege. Unter Bezugnahme auf ein kurz zuvor ergangenes Urteil des EuGH vom 14. Dezember 2023 (C‑340/21, mehr dazu unten) verwies der Gerichtshof darauf, dass die genannten Normen keine absolute Sicherheit gegen Verstöße erforderten, sondern angemessene Maßnahmen, um die Sicherheit zu gewährleisten. Erst wenn ein Organisationsversagen vorliege und die irrtümliche Weitergabe von Dokumenten deren Folge sei, könne ein Verstoß gegen Art. 24 und Art. 32 DSGVO bejaht werden. 

Kurzum: Es kommt wie so oft auf die Umstände des Einzelfalls an. Die Beweislast dafür, dass geeignete TOM getroffen wurden, trage dem EuGH zufolge im Rahmen von Schadensersatzprozessen weiterhin der beklagte Verantwortliche. Das entscheidende nationale Gericht dürfe sich bei der Feststellung eines DSGVO-Verstoßes nicht allein darauf konzentrieren, dass es zu einer Weitergabe von Daten an eine unbefugte dritte Person kam, sondern müsse sämtliche Beweise beachten, die der Verantwortliche zum Nachweis der Geeignetheit seiner TOM vorgelegt hat.

Kein immaterieller Schaden bei erwiesenermaßen nicht erfolgter Kenntnisnahme der Daten durch unbefugte Dritte

Besonders praxisrelevant sind zudem die Ausführungen des EuGH zum Vorliegen eines Schadens. Der Gerichtshof stellt in diesem Urteil erneut fest, dass auch ein kurzzeitiger Kontrollverlust einen immateriellen Schaden auslösen könne, der unabhängig von seiner Geringfügigkeit dann auszugleichen sei, wenn der Kläger den kausal entstandenen Schaden nachweise. Der EuGH wiederholt zwar nicht die Formulierung aus dem Urteil vom 14. Dezember 2023 (C-340/21, mehr dazu unten) aus der dortigen Randnummer 85, dass wenn der Schaden in der Befürchtung des Missbrauchs durch Dritte liegen soll, der Kläger nachweisen müsse, dass diese Befürchtung unter den 

gegebenen besonderen Umständen und im Hinblick auf die betroffene Person

als begründet angesehen werden kann (spätestens an diesem Punkt scheitern eine Menge der Schadensersatzansprüche in den sog. Scraping-Fällen; insbesondere in mehreren ähnlichen Verfahren wiederkehrende Textbausteine reichen vielen Gerichten als Nachweis der individuellen Betroffenheit nicht aus). Im Ergebnis legt er diese Maßstäbe aber auch in diesem Fall aus Hagen an, denn das vorlegende Gericht hatte festgestellt, dass der Dritte die Daten zum einen lediglich für einen Zeitraum von weniger als einer halben Stunde nicht in digitalisierter, sondern in ausgedruckter Form in der Hand hielt und dass zum anderen erwiesenermaßen keine Kenntnisnahme der Inhalte der Daten durch unbefugte Dritte erfolgte. Die Sorge um Datenmissbrauch stuft der EuGH deswegen als ein bloß rein hypothetisches Risiko ein, das für die Bejahung eines Schadens nicht ausreiche. 

Aufgrund der genannten Besonderheiten des Sachverhalts aus Hagen lassen sich zwar keine pauschalen Rückschlüsse auf sich hiervon unterscheidende Fälle von Datenabflüssen ziehen, die z.B. in digitaler und damit weniger kontrollierbarer sowie rückgängig zu machender Form oder für einen längeren Zeitraum erfolgen. Aus dem Urteil kann deutlich geschlossen werden, dass ein pauschaler Vortrag zum Schaden widerlegt werden kann bzw. als Nachweis für den Schaden nicht ausreicht. Die Entscheidung zeigt, dass es weiterhin auf die Umstände des Einzelfalls ankommt, was auch das folgende EuGH-Urteil auf Vorlage aus Bulgarien unterstreicht. 

Urteil vom 14. Dezember 2023 (C-340/21) auf Vorlage aus Bulgarien: Angst vor Datenmissbrauch nach Cyberattacke als immaterieller Schaden?

In der Rechtssache C-340/21 mit Vorlagefragen aus Bulgarien hatte sich der EuGH u.a. zu der Frage zu äußern, ob bei einem Angriff auf den für die Datenverarbeitung Verantwortlichen durch Hacker die Befürchtung der Betroffenen, ihre personenbezogenen Daten könnten in Folge dieses unbefugten Zugangs missbraucht werden, für die Annahme eines immateriellen Schadens im Sinne des Art. 82 DSGVO ausreicht, wenn ein solcher Missbrauch nicht festgestellt wurde. 

Dem Vorlageverfahren lagen Medienberichte aus dem Jahr 2019 zu einem Cyberangriff auf eine bulgarische Behörde, die personenbezogene Daten von ca. 6 Mio. Personen verarbeitete, zugrunde. In diesen wurde berichtet, dass Daten infolge des unberechtigten Zugangs im Internet veröffentlicht worden seien, woraufhin einige der Betroffenen immateriellen Schadensersatz forderten. Zu diesen zählte auch die Klägerin in dem Rechtsstreit, den ein bulgarisches Gericht zur Vorlage an den EuGH nutzte. Die Betroffene machte gerichtlich einen Schadensersatzanspruch gemäß Art. 82 DSGVO in Höhe von ca. EUR 510 gegen die Verantwortliche geltend. 

Zum immateriellen Schaden trug die Betroffene vor, dass die ohne ihre Einwilligung veröffentlichten personenbezogenen Daten künftig missbräuchlich verwendet werden könnten oder dass sie selbst erpresst, angegriffen oder entführt werden könnte. Die für die Datenverarbeitung verantwortliche Behörde hielt dem u.a. entgegen, dass kein Kausalzusammenhang bestehe und dass alle erforderlichen Maßnahmen zum Schutze der IT-Systeme sowie der darauf befindlichen Daten im Vorfeld und im Nachgang der Cyberattacke, die von nicht aus den Kreisen der Bediensteten der Behörde stammenden Personen verübt wurde, getroffen worden seien. 

In dem Verfahren lagen seit April 2023 die Schlussanträge des Generalanwalts vor. Dieser sah die Betroffene zum Nachweis verpflichtet, dass individuell ein realer und sicherer emotionaler Schaden erlitten wurde. Dies sei ein Umstand, den nationale Gerichte in jedem Einzelfall zu prüfen haben.

EuGH: Befürchtung des Missbrauchs personenbezogener Daten in Folge eines Cyberangriffs kann ersatzfähiger immaterieller Schaden sein

In dem Vorlageverfahren hat der EuGH nun mit Urteil vom 14. Dezember 2023 (C-340/21) entschieden, dass die Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einer Cyberattacke für sich genommen einen immateriellen Schaden einer betroffenen Person im Sinne von Art. 82 DSGVO darstellen könne (anders hatte dies übrigens noch kurz zuvor das OLG Karlsruhe mit Urteil vom 7. November 2023 (19 U 23/23) zu einem Cyberangriff gesehen:

Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht für das Vorliegen eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO nicht aus.

Der EuGH betont, dass es für Art. 82 Abs. 1 DSGVO nicht relevant sei, ob ein immaterieller Schaden mit einer bereits erfolgten missbräuchlichen Verwendung der personenbezogenen Daten durch Dritte einherginge oder ob die Angst bestehe, dass eine solche Verwendung in Zukunft erfolgen könnte: 

Weiter ist im vorliegenden Fall festzustellen, dass Art. 82 Abs. 1 DSGVO nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DSGVO von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte.

Dies untermauert der EuGH mit einem Verweis auf die vom Gesetzgeber gewollte weite Auslegung des Schadensbegriffs, die sich aus den 85. und 146. Erwägungsgründen der DSGVO erkennen lasse.

Der Nachweis des Schadens obliegt der betroffenen Person

Der EuGH stimmt mit dem Generalanwalt überein, dass der Nachweis der negativen Folgen und deren Eigenschaft als ersatzfähiger immaterieller Schaden der betroffenen Person obliege. Wenn sich diese auf die Angst vor dem Missbrauch personenbezogener Daten infolge einer Cyberattacke berufe, dann müsse das nationale Gericht prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet einzuordnen seien. Die Behauptung von Ängsten bedeutet also nicht automatisch, dass ein Schaden nachgewiesen wurde: Es ist immer noch eine Prüfung des Einzelfalls erforderlich. 

Haftungsbefreiung nur in engen Grenzen möglich

In diesem Zuge betont der EuGH zudem, dass der für die Verarbeitung Verantwortliche einen Schaden ersetzen müsse, der durch einen mit der Verarbeitung im Zusammenhang stehenden DSGVO-Verstoß, insbesondere gegen Art. 5 Abs. 1 lit. f), Art. 24 und Art. 32 DSGVO, ermöglicht wurde. Das Handeln von Cyberkriminellen könne dem Verantwortlichen daher nur zugerechnet werden, wenn dieser das kriminelle Handeln durch Missachtung der Regeln der DSGVO ermöglicht habe. Eine Haftungsbefreiung des Verantwortlichen nach Art. 82 Abs. 3 DSGVO komme nur in Frage, wenn dieser den Nachweis erbringe, dass es an einem Kausalzusammenhang zwischen der Verletzung seiner datenschutzrechtlichen Pflichten und dem Schaden der betroffenen Person fehle, er also in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, die Verantwortung trägt. An demselben Datum hat er EuGH ein weiteres Urteil zu Art. 82 DSGVO getroffen und dessen umfassenden Anwendungsbereich gestärkt.

Urteil vom 14. Dezember 2023 (C 456/22): Anspruch auf Ersatz immaterieller Schäden setzt keinen spürbaren Nachteil voraus

Am 14. Dezember 2023 hat der EuGH zudem in der Rechtssache C‑456/22 auf eine Vorlagefrage aus Deutschland zu Art. 82 DSGVO entschieden und unter Verweis auf sein Eingangs genanntes Urteil aus dem Mai 2023 der Annahme einer sog. Erheblichkeitsschwelle oder Bagatellgrenze erneut eine deutliche Absage erteilt. Der Gerichtshof betonte zudem nochmals, dass ein Verstoß gegen die DSGVO nicht automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO auslöse. 

Mit diesem zweiten Urteil vom 14. Dezember 2023 hat der EuGH dem Begriff des immateriellen Schadens im Sinne des Art. 82 DSGVO aber weitere Konturen gegeben. Die Vorlage betraf u.a. die Frage, ob der immaterielle Schaden einen spürbaren Nachteil sowie eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange voraussetzt oder ob ein bloß kurzfristiger (wenige Tage andauernder) Verlust des Betroffenen über seine Daten durch deren Veröffentlichung im Internet, die ohne spürbare oder nachteilige Konsequenzen blieb, ausreicht. Der Anspruch auf Ersatz immaterieller Schäden setzt dem EuGH zufolge keinen spürbaren Nachteil voraus. Allerdings – so betont der Gerichtshof in Übereinstimmung mit dem anderen o.g. Urteil vom 14. Dezember 2023 – habe der Betroffene das Vorliegen nachteiliger Folgen des DSGVO-Verstoßes, die zu einem immateriellen Schaden führen, nachzuweisen.

Urteil vom 21. Dezember 2023 (C-667/21): Zur Ausgleichsfunktion des Art. 82 DSGVO für konkret erlittene Schäden infolge von DSGVO-Verstößen

Betreffend der Rechtssache (C-667/21), in der es um die Verarbeitung von Gesundheitsdaten und eine Entschädigung in Höhe von EUR 20.000 geht, beantwortete der EuGH mit Urteil vom 21. Dezember 2023 weitere Vorlagefragen aus Deutschland zu Art. 82 DSGVO. Die Vorlage betraf u.a. die Fragen, ob es bei der Höhe des immateriellen Schadensersatzes auf den Verschuldensgrad des Verantwortlichen (oder Auftragsverarbeiters) ankommt und ob insbesondere dessen fehlendes oder geringes Verschulden zu seinen Gunsten berücksichtigt werden darf. Im Mai 2023 hatte hierzu der Generalanwalt seine Schlussanträge vorgelegt und sich dafür ausgesprochen, dass der Grad des Verschuldens weder für die Haftung noch die Bemessung der Höhe des zu ersetzenden immateriellen Schadens von Bedeutung sei.

Der EuGH verwies zum Sinn und Zweck des Art. 82 DSGVO auf dessen Ausgleichsfunktion: Die Norm solle eine Entschädigung in Geld ermöglichen, um den aufgrund eines DSGVO-Verstoßes konkret erlittenen Schaden zu ersetzen. Dabei komme ihr keine Abschreckungs- oder Straffunktion zu. In Übereinstimmung mit dem o.g. Urteil legt der EuGH Art. 82 DSGVO auch auf diese Vorlagefragen dahingehend aus, dass das Verschulden des Verantwortlichen vermutet werde, sofern dieser nicht nachweist, dass ihm die schadensverursachende Handlung nicht zuzurechnen ist. Zur Bemessung der Höhe einer zu leistenden Entschädigung für einen immateriellen Schaden führte der EuGH aus, dass Art. 82 DSGVO nicht verlange, dass der Grad des Verschuldens dabei berücksichtigt werde. 

Da sich der EuGH bisher nicht weiter zu einer konkreten Höhe eines zu leistenden Schadensersatzes geäußert hat, verdient auch die folgende Entscheidung Beachtung, obwohl sie sich gar nicht auf die DSGVO bezieht.

Urteil vom 5. März 2024 (C-755/21 P): Schadensersatzanspruch nach der Europol-Verordnung – Beweiserleichterung für den Betroffenen 

Obwohl die durch den EuGH mit Urteil vom 5. März 2024 entschiedene Rechtssache C-755/21 P nicht direkt Art. 82 DSGVO betraf, drehte sie sich u.a. doch um einen Schadensersatzanspruch im Zusammenhang mit der Weitergabe personenbezogener Daten. In dem zugrundeliegenden Sachverhalt ermittelten slowakische Behörden und die Agentur der EU für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) in einem Fall eines ermordeten Journalisten und dessen Verlobter, wobei Europol dabei Daten auf zwei Mobiltelefonen des Klägers in dem EuGH-Verfahren extrahierte und die Daten an die Ermittlungsbehörden übermittelte. Ein Jahr später landeten aus diesen Daten u.a. Mitschriften intimer Kommunikation zwischen dem Kläger und dessen Partnerin aus einem verschlüsselten Messenger-Dienst sowie Hinweise von Europol, der Kläger sei wegen des Verdachts einer Finanzstraftat inhaftiert und stehe im Zusammenhang mit sog. „Mafia-Listen“ und den „Panama Papers“ in der slowakischen Presse. Der Kläger verlangte vor dem Gericht der EU (EuG) sodann immateriellen Schadensersatz in Höhe von EUR 50.000 für die Weitergabe der Kommunikation sowie in Höhe von weiteren EUR 50.000 für die Aufnahme seines Namens auf die sog. „Mafia-Listen“ – mithin insgesamt EUR 100.000. Das EuG wies die Klage im Jahr 2021 allerdings ab (Urteil v. 29. September 2021 – T-528/20 [Kočner/Europol]), wogegen der Kläger Rechtsmittel zum EuGH einlegte.

Der EuGH stellte sich der Einschätzung der 1. Instanz sodann entgegen. Diese hatte den Anspruch des Klägers verneint, weil dieser nicht nachgewiesen habe, dass Europol die besagten „Mafia-Listen“ geführt hätte und dass ein von ihm erlittener Schaden kausal von Europol verursacht worden sei. Doch der EuGH betont, dass eine betroffene natürliche Person zur Geltendmachung einer wie hier vorliegenden gesamtschuldnerischen Haftung auf erster Stufe lediglich nachweisen müsse, dass es anlässlich der Zusammenarbeit zwischen Europol und der Behörden des betreffenden Mitgliedstaats zu einer widerrechtlichen Datenverarbeitung gekommen sei, durch die der geltend gemachte Schaden entstanden ist. Der Betroffene müsse dem EuGH zufolge aber nicht nachweisen, welcher dieser beiden Stellen die widerrechtliche Verarbeitung zuzurechnen ist.

EuGH: Schadensersatzanspruch in Höhe von EUR 2.000 nach der Europol-Verordnung

Das Urteil des EuG wurde durch die neue Entscheidung des EuGH aufgehoben und dieser hat zudem in der Sache sogleich selbst entschieden. Als zulässig und begründet sah der EuGH lediglich die Rechtsmittel zu dem Antrag hinsichtlich der intimen Kommunikationsdaten an und urteilte, dass dem Kläger ein Anspruch auf Ersatz des immateriellen Schadens in Höhe von EUR 2.000 gegen beide Behörden als Gesamtschuldner zustehe. Die ihn betreffenden Daten seien unbefugt weitergegeben worden und an die Öffentlichkeit gelangt (das Urteil spricht von Presseartikeln und Webseiten, u.a. eines internationalen Netzwerks investigativer Journalisten), wodurch der Kläger in seinem Recht auf Achtung seines Privat- und Familienlebens sowie seiner Kommunikation (Art. 7 Grundrechte-Charta) verletzt und dessen Ehre und Ansehen beeinträchtigt worden seien. 

Das Verfahren drehte sich allerdings nicht um Schadensersatz nach der DSGVO, sondern nach der sog. Europol-Verordnung (Verordnung (EU) 2016/794) und ihren Art. 49 Abs. 3 und Art. 50 Abs. 1, welche Regelungen für den Schadensersatz bei widerrechtlicher Datenverarbeitung vorsehen. Die Europol-Verordnung erkennt schon in Erwägungsgrund Nr. 57 die Beweisschwierigkeiten, die sich für einen Betroffenen bei der unrechtmäßigen Datenverarbeitung durch Europol und die EU-Mitgliedstaaten ergeben: 

Für eine betroffene Einzelperson kann es unklar sein, ob der infolge einer unrechtmäßigen Datenverarbeitung erlittene Schaden aus einer Maßnahme Europols oder aber eines Mitgliedstaats resultiert. Daher sollten Europol und der Mitgliedstaat, in dem die Maßnahme, die den Schaden ausgelöst hat, erfolgt ist, gesamtschuldnerisch für den Schaden haften.

Der EuGH betont aber auch die Möglichkeit der beklagten Stelle, den Nachweis zu erbringen, dass ausgeschlossen ist, dass der geltend gemachte Schaden mit einer im Rahmen einer Zusammenarbeit zwischen Europol und einem Mitgliedstaaten erfolgten widerrechtlichen Datenverarbeitung in Zusammenhang steht. 

Zur Höhe des zugesprochenen Schadensersatzes und zum erheblichen Abweichen des zu leistenden Betrages (EUR 2.000) von der durch den Kläger beantragten Summe (EUR 50.000) nimmt der EuGH kaum Stellung. Verglichen mit den Fällen, in denen deutsche Gerichte einen Schadensersatz in derselben Höhe zugesprochen haben, erscheint der Betrag aus dem EuGH-Verfahren aufgrund der Erheblichkeit des Verstoßes und der Intimität der weitergegebenen Daten sowie der erfolgten Veröffentlichung in der Presse gering: So hat z.B. das LAG Hamm einen Schadensersatz in Höhe von EUR 2.000 bei einer Übermittlung personenbezogener Daten eines Arbeitnehmers innerhalb eines Klinikverbunds zugesprochen (Urteil v. 14. Dezember 2021 – 17 Sa 1185/20), das LAG Berlin-Brandenburg sprach dieselbe Summe allein für einen Verstoß gegen Auskunftspflichten des Art. 15 DSGVO zu (Urteil v. 18. November 2021 – 10 Sa 443/21) und das OLG Düsseldorf für die Übersendung der Gesundheitsakte eines Klägers durch die beklagte gesetzliche Krankenversicherung an eine falsche E-Mail-Adresse (Urteil v. 28. Oktober 2021 – 16 U 275/20). Der Gerichtshof verweist in dem vorliegenden Fall lediglich darauf, dass nicht festzustellen sei, dass wie von dem Kläger behauptet auch Fotografien an unbefugte Dritte gelangt seien, sondern dass sich die unbefugte Weitergabe auf die transkribierten Gespräche zwischen dem Kläger und dessen Partnerin beschränke. Daher halte der EuGH nach billigem Ermessen einen Schadensersatz in Höhe von EUR 2.000 für einen angemessenen Ausgleich. Ob nationale Gerichte diese EuGH-Entscheidung, die bei einem gravierenden Sachverhalt eine vergleichsweise geringe Summe zuspricht, zum Anlass nehmen, auch die in der ordentlichen Gerichtsbarkeit zugesprochenen Schadensersatzbeträge zu verringern, bleibt spannend.

Auch im Jahr 2024 bleibt es zum DSGVO-Schadensersatz spannend: Weitere Vorlagefragen zu Art. 82 DSGVO vor dem EuGH

Insgesamt hat der EuGH die Voraussetzungen und Rechtsfolgen des datenschutzrechtlichen Schadensersatzanspruchs insb. hinsichtlich immaterieller Schäden mit den genannten Urteilen weiter konkretisiert. Es bleibt abzuwarten, wie die nationalen Gerichte mit den Vorgaben des Gerichtshofs umgehen werden. Zudem laufen weitere Vorlageverfahren vor dem EuGH zu Art. 82 DSGVO. Erst im September 2023 hat beispielsweise der BGH ein Verfahren ausgesetzt und dem EuGH Fragen zum DSGVO-Schadensersatz vorgelegt, u.a. ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen sei, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle (z.B. Ärger, Unmut, Unzufriedenheit, Sorge, Angst) genügen, obwohl diese Teil des allgemeinen Lebensrisikos und des täglichen Erlebens seien, oder ob ein über diese Gefühle hinausgehender Nachteil erforderlich ist. 

EuGH: Schlussanträge des Generalanwalts im Scalable Capital-Vorlageverfahren

In den verbundenen Rechtssachen C-182/22 und C-189/22 mit Vorlagefragen aus Deutschland (C-182/22, C-189/22) zu den Scalable Capital-Vorlageverfahren liegen seit Oktober 2023 die auf die fünfte Vorlagefrage beschränkten Schlussanträge des Generalanwalts vor. Die vorlegenden Gerichte möchten vom EuGH u.a. Antworten auf die Fragen, ob für die Geltendmachung des immateriellen Schadensersatzes nach Art. 82 DSGVO ein Identitätsdiebstahl im Sinne des 75. Erwägungsgrundes der DSGVO erst dann zu bejahen sei, wenn die Identität des Betroffenen angenommen wurde, oder ob der Umstand, dass Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, zur Bejahung eines Identitätsdiebstahls ausreicht. 

Der Generalanwalt kommt in diesem Verfahren zu der Empfehlung, dass der Diebstahl sensibler personenbezogener Daten eines Betroffenen durch unbekannte Straftäter zu einem Anspruch auf immateriellen Schadensersatz führen könne, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines konkreten erlittenen Schadens und des Kausalzusammenhangs zwischen Schaden und DSGVO-Verstoß erbracht werde. Als nicht erforderlich sieht es der Generalanwalt an, dass Straftäter die Identität des Betroffenen angenommen haben. Der Besitz von Daten, die zur Identifizierbarkeit des Betroffenen genügen, stelle dem Generalanwalt zufolge für sich genommen keinen Identitätsdiebstahl dar. Da hierzu Verfahren bereits die Schlussanträge des Generalanwalts vorliegen, kann mit einer baldigen Entscheidung durch den EuGH gerechnet werden. Angesichts der o.g. EuGH-Entscheidung vom 14. Dezember 2023 zu der Vorlage aus Bulgarien dürfte sich die Spannung, wie der EuGH in diesen Rechtssachen urteilen wird, in Grenzen halten.

Überblick zu weiteren EuGH-Vorlageverfahren betreffend Art. 82 DSGVO

Vor dem EuGH laufen weitere Vorlageverfahren, von denen einige Parallelen zu den oben dargestellten Fragen zu Art. 82 DSGVO aufweisen; diese sind beispielsweise:

• Die Rechtssache C-507/23 mit Vorlagefragen aus Lettland, u.a. ob Art. 82 Abs. 1 DSGVO die Verpflichtung zur Entschuldigung als einzigen Ersatz für einen immateriellen Schaden gestattet, wenn keine Möglichkeit zur Wiederherstellung des ursprünglichen Zustands besteht, und ob die Motivation des Verantwortlichen (z.B. Erfüllung eines im öffentlichen Interesse liegenden Auftrags, Fehlen einer Schädigungsabsicht oder Verständnisprobleme hinsichtlich des geltenden Rechts) anspruchsmindernd berücksichtigt werden kann.
• Die Rechtssache C-590/22 mit Vorlagefragen aus Deutschland, u.a. ob allein die Befürchtung ohne positiven Nachweis, dass personenbezogene Daten unberechtigt in fremde Hände gelangten, für einen Anspruch aus Art. 82 DSGVO ausreicht und ob für die Bemessung des Schadensersatzes eine abschreckende Wirkung erforderlich ist.

Diese nicht abschließende Auflistung zeigt, dass es zu Art. 82 DSGVO und dem datenschutzrechtlichen Schadensersatz auch im weiteren Verlauf des Jahres spannend bleibt.

Art. 82 DSGVO nimmt durch die neueste EuGH-Rechtsprechung weitere Konturen an

Durch die Entscheidungen der letzten Monate hat der EuGH ungeklärte Fragen zu Art. 82 DSGVO beantwortet und der Norm präzisere Konturen gegeben.

Mit unserer filter- und sortierbaren Datenbank können Sie sich einen Überblick zur Rechtsprechung zu Art. 82 DSGVO verschaffen: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) (cmshs-bloggt.de). Eine ständig aktualisierte Übersicht über DSGVO-Bußgelder in Deutschland und anderen EU-Ländern finden Sie über unseren Enforcement Tracker. Bleiben Sie zudem gern mit unserem Blog und unserem Newsletter auf dem Laufenden.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Update: Neues vom EuGH zum DSGVO-Schadensersatz erschien zuerst auf CMS Blog.

Während der risikobasierte Ansatz des Entwurfs des Gesetzes über Künstliche Intelligenz (KI-Verordnung, AI Act) auch in der finalen Fassung der KI-Verordnung beibehalten wird, versucht diese insbesondere bei Hochrisiko-KI-Systemen durch das Merkmal eines bedeutenden Risikos (significant risk) mehr Klarheit im Hinblick auf die Klassifizierung von KI-Systemen zu schaffen.

Unannehmbares Risiko – Einstufung generativer KI als verbotene Praktiken

Die KI-Verordnung verbietet das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen, die als unvereinbar mit den Grundrechten der Europäischen Union (EU) angesehen werden (Art. 5):

• Manipulation von Verhalten und Ausnutzung von Schwächen: KI-Systeme, die darauf abzielen, das Verhalten von Menschen zu manipulieren oder zu beeinflussen, um ihre Entscheidungen zu steuern, und auch KI-Systeme, die gezielt die menschliche Schwächen ausnutzen (z.B. Alter, Behinderung, bestimmte soziale oder wirtschaftliche Situation) mit dem Ziel oder der Bewirkung einer Verhaltensänderung, jeweils in einer Weise, die einen bedeutenden Schaden verursacht oder zu verursachen geeignet ist, sind verboten. Dies umfasst beispielsweise die gezielte Manipulation von Inhalten in sozialen Medien oder anderen Plattformen, um politische oder kommerzielle Ziele zu verfolgen.
• Soziale Bewertungssysteme: KI-Systeme, die Menschen anhand von persönlichen Merkmalen wie Rasse, Geschlecht, Religion oder politischer Überzeugung bewerten (Social Scoring), können zu Diskriminierung, Stigmatisierung und Ungerechtigkeit führen.
• Risikobewertung und Profiling im Hinblick auf Straffälligkeit: KI-Systeme, die natürliche Personen oder Gruppen hinsichtlich des Risikos von Straffälligkeiten beurteilen oder das Auftreten oder die Wiederholung einer Straftat oder Ordnungswidrigkeit auf der Grundlage der Erstellung eines Profils einer natürlichen Person oder der Bewertung von Persönlichkeitsmerkmalen und Eigenschaften, einschließlich des Standorts einer Person, oder des früheren kriminellen Verhaltens natürlicher Personen oder Gruppen natürlicher Personen vorhersagen, sind verboten.
• Datenbankerstellung oder -erweiterung zur Gesichtserkennung: Ein weiteres Verbot gilt für KI-Systeme, die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder aus Videoüberwachungsaufnahmen erstellen oder erweitern (Scraping).
• Ableitung von Emotionen: Auch KI-Systeme, die Emotionen einer natürlichen Person am Arbeitsplatz und in Bildungseinrichtungen ableiten, gelten als unannehmbares Risiko und sind verboten.
• Biometrische Kategorisierungssysteme: Ein weiteres unannehmbares Risiko besteht im Hinblick auf KI-Systeme, die dazu dienen sollen, einzelne natürliche Personen anhand ihrer biometrischen Daten kategorisieren, um daraus ihre Rasse, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugungen Sexualleben oder sexuelle Orientierung abzuleiten oder abzuleiten; ausgenommen sind jedoch rechtmäßig erfasste biometrische Datensätze im Bereich der Strafverfolgung.
• Echtzeit- Fernidentifizierungssysteme in öffentlichen Räumen: Der Einsatz von Fernidentifizierungssysteme in „Echtzeit″ („real-time″ remote biometric identification) in öffentlichen Räumen zur Strafverfolgung ist nur unter strengen Voraussetzungen und für bestimmte Katalogstraftaten zulässig. zulässig. 

Generative KI-Systeme müssen daher mit Vorsicht entwickelt und eingesetzt werden, da sie sich grundsätzlich auch für den Einsatz als verbotenen Praktiken eignen. Entscheidend ist der Kontext, in dem das generative KI-System betrieben und entwickelt wird. Wenn es kritische Entscheidungen beeinflusst (z.B. Einstellung, Strafaussetzung zur Bewährung) besteht das Risiko, dass es als verbotene Praktik eingestuft wird.

Wird gegen das Verbot von Praktiken der KI des Art. 5 verstoßen, sieht die KI-Verordnung Geldbußen von bis zu EUR 35 Mio. oder 7 % des gesamten weltweiten Jahresumsatzes eines Unternehmens im vorangegangenen Geschäftsjahr vor (Art. 71). Die durch die KI-Verordnung vorgesehen Bußgelder können damit potenziell weit höher sein als unter der Europäischen Datenschutz-Grundverordnung (DSGVO), die maximal bis zu EUR 20 Mio. oder 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsieht.

Hochrisiko-KI-Systeme – Generative KI wird je nach Zweckbestimmung und Anwendungsmodalitäten erfasst

Sog. Hochrisiko-KI-Systeme (high risk AI systems) unterliegen strengeren Vorschriften in Bezug auf Daten, Daten-Governance, Dokumentation und das Führen von Aufzeichnungen, Transparenz und Bereitstellung von Informationen für die Betreiber, menschliche Aufsicht, Robustheit, Genauigkeit und Sicherheit. 

Die KI-Verordnung unterscheidet weiterhin zwischen zwei Kategorien von Hockrisiko-KI-Systemen. 

Unter eine Kategorie fallen KI-Systeme, die selbst Produkte oder Sicherheitskomponenten von Produkten sind, die unter die in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der EU fallen und als Produkte oder Sicherheitskomponenten eines Produkts im Hinblick auf das Inverkehrbringen oder Inbetriebnehmen nach den Harmonisierungsvorschriften des Anhangs II einer Konformitätsbewertung im Hinblick auf Gesundheit und Sicherheit durch Dritte unterzogen werden müssen. Grundsätzliche Beispiele sind etwa Spielzeuge, Flugzeuge, zwei- oder dreirädrige Fahrzeuge, Autos, medizinische Geräte, Eisenbahnsysteme und Aufzüge. Im Bereich generativer KI-Modelle kommen hier etwa virtuelle Assistenten oder personalisierte Empfehlungen als Teile solcher Produkte in Betracht.

Zusätzlich gelten KI-Systeme, die unter einen oder mehrere der in Anhang III der KI-Verordnung aufgeführten Bereiche fallen, als Hochrisiko-KI-Systeme (Art. 6 Abs. 2). Beispiele sind etwa:

• Biometrische Identifizierungs- oder Kategorisierungssysteme: Bei KI-Systemen, die biometrische Daten wie Gesichtserkennung, Stimmerkennung, Emotionserkennung oder Verhaltensanalyse verwenden, liegt das hohe Risiko in den schwerwiegenden Auswirkungen eines Missbrauchs solcher Systeme auf Datenschutz und Privatsphäre. Bei biometrischen Identifizierungssystemen dürften allerdings meist keine Komponenten generativer KI eingesetzt werden. 
• KI-Systeme in sicherheitskritischen Bereichen: Fehler oder Fehlfunktionen in Systemen, die in sicherheitskritischen Bereichen wie digitaler Infrastruktur, dem Verkehrssektor oder der Energiewirtschaft (z.B. Wasser-, Gas- Wärme- und Stromversorgung) eingesetzt werden, können zu schwerwiegenden Schäden oder Verletzungen von Personen führen und gelten deshalb als Hockrisiko-KI-Systeme.
• Bewertende KI-Systeme in bestimmten Bereichen: Werden KI-Systeme zur Bewertung von Leistungen, Einstufung einer Person oder Zugang zu und Nutzung von bestimmten grundlegenden privaten und öffentlichen Diensten und Leistungen eingesetzt, kann eine fehlerhafte oder voreingenommene Bewertung erhebliche Auswirkungen auf die Karriereaussichten, Teilhabe an der Gesellschaft, Lebensstandard und Lebensgrundlagen der betroffenen Personen haben. Insbesondere die folgenden Bereiche werden deshalb als hochriskant angesehen:
  • Bildungsbereich (z.B. Bewertung von Schülerleistungen),
  • automatisierte Einstufung von Bewerbern bei Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit,
  • Kreditpunktebewertung oder zur Bewertung der Kreditwürdigkeit natürlicher Personen (Ausnahme: Inbetriebnahme durch kleine Anbieter für den Eigenbedarf in Betrieb),
  • Bewertung von natürlichen Personen für den Abschluss von Kranken- und Lebensversicherungen.

Bei solchen bewertenden Hochrisiko-KI-Systemen wird es sich in aller Regel um generative KI-Systeme handeln, die etwa Daten wie Einkommen, Beschäftigungsverlauf und Bonität, durch die Kreditwürdigkeit eines Unternehmens oder einer Person vorhergesagt werden können, analysieren, oder Lebensläufe und berufliche Qualifikationen von Bewerbern auf ihre Eignung für ein bestimmtes Beschäftigungsverhältnis überprüfen und unter Umständen bereits eine Vorauswahl qualifizierter Bewerber treffen. Ein weiteres Beispiel sind Klassifikation und Evaluation von Arbeitskräften für Beförderungen oder Kündigungen.

• KI-Systeme im Strafverfolgungs- und Justizbereich: KI-Anwendungen, die im Auftrag von oder durch Strafverfolgungsbehörden oder EU-Behörden Gerichten eingesetzt werden (z.B. als Lügendetektoren oder zur Bewertung der Verlässlichkeit von Beweisen im Strafverfahren), gelten als hochriskant.
• KI-Systeme im Zusammenhang mit Migration, Asyl und Grenzkontrolle: KI-Systeme, die bei der Einreise oder in Asylverfahren eingesetzt werden (z.B. Vorhersage von Sicherheits- oder Gesundheitsrisiken einer einreisenden Person, Überprüfung von Reisedokumenten) sollen Hochrisiko-KI-Systeme sein.
• KI-Systeme im Zusammenhang mit Wahlen: Werden KI-Systeme eingesetzt, um Wahlergebnisse oder das Wahlverhalten natürlicher Personen zu beeinflussen, beeinträchtigen sie die Wahlfreiheit und stellen daher ein hohes Risiko dar. 

Keine Hockrisiko-KI-Systeme sind dabei solche KI-Systeme, die kein bedeutendes Risiko (significant risk) für Gesundheit, Sicherheit oder Grundrechte natürlicher Personen oder Umweltbeeinträchtigungen darstelle (Art. 6 Abs. 3), was etwa der Fall sein, soll, wenn die KI-Systeme nur eingeschränkte, prozessuale Aufgaben erledigen, das Ergebnis von zuvor abgeschlossenen menschlichen Tätigkeiten verbessern, Entscheidungsmuster oder Abweichungen davon erkennen soll, ohne eine zuvor durchgeführte menschliche Beurteilung zu ersetzen oder zu beeinflussen, ohne dass zuvor eine ordnungsgemäße menschliche Überprüfung erfolgt ist, und die nur vorbereitende Aufgaben für eine in Annex III genannte Bewertung erfüllen.

Anbieter und Betreiber sollten sich frühzeitig mit den Anforderungen und Pflichten für Hochrisiko-KI-Systeme auseinandersetzen

KI-Systeme, die ein unannehmbares Risiko darstellen, werden als Verbotene Praktiken ganz untersagt. Für Hochrisiko-KI-Systeme legt die KI-Verordnung Anforderungen und Pflichten für ihre Anbieter, Betreiber, Händler und Einführer sowie andere Beteiligte entlang der KI-Wertschöpfungskette fest, sodass es sich lohnt, sich frühzeitig mit den Anforderungen der KI-Verordnung auseinander zu setzen.

Auch vor der Rechtsberatung macht KI keinen Halt. Dies hat CMS bereits früh erkannt: Wie künstliche Intelligenz die Arbeit in Kanzleien verändert (cmshs-bloggt.de). Auf unserer Innovationen-Homepage und in unserem CMS To Go Podcast „KI für die Rechtsabteilung“ erhalten Sie weitere Informationen. 

In unserem CMS-Blog halten wir Sie in unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend mit aktuellen Beiträgen zu diesen Themen auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Themen wie: Künstliche Intelligenz und der Journalismus der Zukunft; Endspurt für die Regulierung von KI; Verbotene Praktiken und Hochrisiko-KI-Systeme; Hochrisiko-KI-Systeme als regulatorischer Schwerpunkt; Pflichten entlang der Wertschöpfungskette und für Anbieter von Basismodellen; Transparenzpflichten, Rechte für Betroffene, AI Office und Sanktionen sowie Robo Adviser. Weitere Informationen finden Sie zudem auf unserer Insight-Seite: Implikationen für Künstliche Intelligenz und Recht | CMS Deutschland.

Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.

*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag KI-Verordnung – Verbotene Praktiken und Hochrisiko-KI-Systeme erschien zuerst auf CMS Blog.