EuGH entscheidet über DSGVO-Ansprüche: Quirin-Bank sendet Xing-Nach­richt an fal­sche Person

Fehler passieren, auch bei der Quirin-Bank. Im Bewerbungsprozess wollte eine HR-Mitarbeiterin einem Kandidaten mitteilen, dass dessen Gehaltsforderung zu hoch ist. Doch sie schickte die Nachricht über Xing an eine falsche Person – ausgerechnet an einen früheren Kollegen des Bewerbers. Der leitete die Mitteilung an den Bewerber weiter, sodass der Fehler schnell bekannt wurde. 

Berechtigt so ein Vorfall den eigentlichen Adressaten zum Schadensersatz? Kann er Unterlassung fordern? Wenn ja, nach welchem Gesetz und unter welchen Voraussetzungen? 

Diese Fragen stellte sich auch der Bundesgerichtshof (BGH) und legte sie dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vor (Beschl. v. 26.09.2023, Az. VI ZR 97/22). Die Schlussanträge liegen längst vor, am Donnerstag will das Luxemburger Gericht seine Entscheidung verkünden (Az. C‑655/23). 

Schmach durch Unterliegen bei Gehaltsverhandlungen?

Der Kläger macht einen Verstoß gegen den Datenschutz geltend. Sein – immaterieller – Schaden liege dabei nicht im abstrakten Kontrollverlust über die offenbarten Daten, sondern konkret darin, dass nunmehr mindestens eine weitere Person, die den Kläger und potenzielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen – etwa dass er auf Jobsuche ist, sich bei diesem Arbeitgeber bewirbt und bekommt mindestens eine Idee vom Wunschgehalt.

Es sei zu befürchten, dass der in der gleichen Branche tätige Dritte die in der Nachricht enthaltenen Daten weitergegeben habe oder sich durch ihre Kenntnis als Konkurrent auf etwaige Stellen im Bewerbungsprozess einen Vorteil habe verschaffen können. Zudem empfinde er das "Unterliegen" in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte – vor allem nicht an potenzielle Konkurrenten – weitergegeben hätte. Er forderte mindestens 2.500 Euro Schadensersatz.

Die erste Entscheidung in der Sache erging bereits vor über fünf Jahren. Das Landgericht (LG) Darmstadt gab dem Unterlassungsanspruch teilweise statt und verurteilte die Bank zur Zahlung von 1.000 Euro (Urt. v. 26.05.2020, 13 O 244/19). Das Oberlandesgericht (OLG) Frankfurt wies die Schadensersatzklage jedoch in zweiter Instanz ab (Urt. v. 02.03.2022, Az. 13 U 206/20). Vor dem OLG vertraten Marina Rodenhausen und  Severin Riemenschneider von der Media Kanzlei in Frankfurt den Kläger, Felix Buchmann von Dornkamp Rechtsanwälte aus Stuttgart die Bank. Der Kläger legte Revision zum BGH ein. Dort vertritt Matthias Koch den Kläger, Ralph Schmitt von Rechtsanwälte Toussaint & Schmitt die beklagte Bank. 

Meinungsstreit: Welche Ansprüche umfasst Art. 17 DSGVO?

Im Zentrum des Verfahrens steht inzwischen der Anwendungsbereich der Datenschutzgrundverordnung (DSGVO). Die gibt Personen Anspruch auf Löschung und Schadensersatz, u.a. wenn Daten unrechtmäßig erhoben, verarbeitet oder verbreitet werden. Der Anspruch auf Löschung folgt aus Art. 17 DSGVO. 

Wird er geltend gemacht, erfasst der Anspruch auch das künftige Unterlassen. Ein Rückgriff auf die Unterlassungsnormen des Bürgerlichen Gesetzbuches (BGB) ist dann nach der Rechtsprechung des BGH nicht mehr erforderlich. Doch ist Art. 17 DSGVO auch die richtige Anspruchsnorm, wenn der Betroffene nicht Löschung verlangt, sondern nur das künftige Unterlassen? So war der Bewerber in dem vorliegenden Fall vorgegangen. 

Das OLG nahm an, der Unterlassungsanspruch aus Art. 17 DSGVO bestehe auch in diesem Fall. Ein Rückgriff auf die §§ 823 Abs. 1, 1004 BGB sei für diesen Anspruch nicht erforderlich. Der lückenlosen Individualrechtsschutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen sei über Art. 17 DSGVO zu gewährleisten. 

Auswirkungen hat die Anspruchsgrundlage insbesondere für das etwaige Erfordernis einer Wiederholungsgefahr: Eine solche setzt der Unterlassungsanspruch aus § 1004 Abs. 1 S. 2 BGB – anders als der Beseitigungsanspruch – voraus. Inwiefern auch Art. 17 DSGVO eine Wiederholungsgefahr voraussetzt, ist noch nicht abschließend geklärt und gehört zu den Fragen, die der BGH dem EuGH gestellt hat. Auch die weiteren Anspruchsvoraussetzungen und die Höhe des Schadensersatzes hängen von der Wahl der Anspruchsgrundlage ab.

Dabei berief sich der Senat auch auf frühere Rechtsprechung des BGH (u.a. Urt. v. 12.10.2021, Az. VI ZR 488/19). In den BGH-Fällen aber hatten die Betroffenen stets auch Löschung verlangt – dann ist auch das künftige Unterlassen nach der Rechtsprechung des BGH von dem Anspruch umfasst. Doch über welche Norm der Anspruch ohne Löschungsverlangen zu gewähren ist – ggf. unter Heranziehung der allgemeinen Rechtschutznorm Art. 79 DSGVO –, ist bisher nicht entschieden. Das betont der BGH selbst in dem Vorlagebeschluss an den EuGH. 

Die Frage des BGH bleibt also: Kann der Anspruch aus Art. 17 DSGVO bestehen, ohne dass der Anspruch auf Löschung geltend gemacht wurde, und gilt das ggf. auch für den Anspruch des Betroffenen auf die Einschränkung der Datenverarbeitung aus Art. 18 DSGVO. 

Generalanwalt präsentiert neue Variante

In der deutschen Rechtsprechung und Literatur gibt es dazu bisher unterschiedliche Ansichten: Einige sehen den Anspruch in den Art. 17 und 18 umfasst, andere wollen aufs BGB ausweichen. 

Der Generalanwalt Manuel Campos Sánchez-Bordona wählte in seinen Schlussanträgen eine dritte Möglichkeit: Er sieht den Anspruch in der DSGVO begründet, allerdings konkret in Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 i.V.m. Art. 79 Abs. 1. Aus Art. 5 und 6 DSGVO folge der Grundsatz, dass Betroffene ein Recht auf rechtmäßige Datenverarbeitung haben. Ist die Verarbeitung rechtswidrig, haben die Betroffenen einen Anspruch auf Rechtsschutz, Art. 79 DSGVO. Aus Art. 17 und 18 DSGVO könne das künftige Unterlassung jedenfalls nicht abgeleitet werden: Das stünde im Widerspruch zum Wortlaut und entspräche nicht ihrem Zweck.

Der Anspruch auf Ersatz eines entstandenen Schadens soll aus Art. 82 DSGVO folgen. Der Generalanwalt betonte dabei, dass dieser "ausschließlich eine Ausgleichsfunktion" und keine Abschreckungs- oder Straffunktion erfülle.

Bestehen einer Wiederholungsgefahr ist widerlegbar

Die zweite Frage des BGH bezieht sich auf die Wiederholungsgefahr: Muss diese vorliegen, damit der unionsrechtliche Unterlassungsanspruch besteht und wird sie gegebenenfalls bei einem bereits vorliegenden Verstoß gegen die DSGVO vermutet?

Der Generalanwalt betonte, dass eine Wiederholungsgefahr bestehen muss und der Betroffene diese nach der üblichen Beweislastverteilung nachweisen müsse. Erfolgte bereits ein Datenschutzverstoß, kann man diese Gefahr – widerlegbar – vermuten. Insofern könnte das Gericht eine Unterlassungsverfügung erlassen, wenn der Verantwortliche nicht nachweist, dass im konkreten Fall keine Wiederholungsgefahr besteht.

Wie hoch ist ein Schaden bei gleichzeitigem Unterlassungsanspruch?

Da sich viele andere Fragen des BGH mit diesen Einschätzungen erledigt haben, blieb dem Generalanwalt nur noch die zur Bemessung der Höhe des Schadensersatzanspruchs zu beantworten: Mindert sich die Höhe des Schadensersatzes, wenn gleichzeitig auch ein Anspruch auf Unterlassen besteht?

So jedenfalls hält es die deutsche Rechtsprechung bei einer Verletzung des Allgemeinen Persönlichkeitsrechts: Denn in Deutschland dient dann der Schadensersatz der Genugtuung und der Prävention. Da aber die Unterlassungsverfügung auch noch einmal Präventivfunktion hat, kann ihr Erlass die Höhe der Entschädigung senken.

So will es der Generalanwalt für den Anspruch auf immateriellen Schadensersatz nach der DSGVO nicht: Eine Unterlassungsverfügung soll sich seiner Meinung nach nicht auf die Höhe des Schadensersatzes auswirken. 

Entschädigung hat keinen Strafzweck

Denn nach der Rechtsprechung des EuGH könne schon "die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen – unabhängig davon, ob ein Missbrauch der Daten bereits erfolgt ist oder in der Zukunft befürchtet wird. 

Die dann umfassend zu gewährende Entschädigung diene nach ständiger Rechtsprechung des EuGH ausschließlich dem Ausgleich und verfolge keine Abschreckungs- oder Strafzwecke – auch wenn dieser Effekt damit einhergehen könne. 

Allerdings werde die Gefahr einer Wiederholung mit dem Erlass der Verfügung gebannt – auf diese Gefahr wird sich dann auch kein immaterieller Schaden mehr stützen lassen. Die Befürchtungen des Datenmissbrauchs bis zum Erlass aber seien in voller Höhe auszugleichen. 

Ob der EuGH sich diesen Ansichten anschließt, wird sich am Donnerstag zeigen. In der Folge muss der BGH die Rechtsauffassung auf den Fall anwenden und selbst entscheiden.