Bloßer Kontrollverlust kann Schadensersatz begründen
Urteil des BGH vom 11.02.2025, Az.: VI ZR 365/22Entgegen der Vorinstanzen hat der BGH in seiner Entscheidung festgestellt, dass ein immaterieller Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO bereits durch den vorübergehenden Kontrollverlust über die in der Personalakte befindlichen Daten begründet werden kann. Unstreitig war, wie bereits in den früheren Verfahren, dass ein Verstoß gegen die DSGVO vorliegt, sofern Personalakten von Bundesbeamten einer Bundesanstalt durch Bedienstete eines Bundeslandes verwaltet werden. Die Verschwiegenheitspflicht dieser Bediensteten darf nur zur Bemessung der Höhe des zu leistenden Schadensersatzes herangezogen werden.
BGH
Urteil vom 11.02.2025
Az.: VI ZR 365/22
Tatbestand:
1 Die Parteien streiten, soweit im Revisionsverfahren noch relevant, über
Schadensersatz wegen Verstoßes gegen die Datenschutz-Grundverordnung.
2 Die Klägerin ist seit dem Jahr 1995 Bundesbeamtin bei der Bundesanstalt
X. in Hannover. Die Personalaktenverwaltung
wurde dort in der Vergangenheit durch Bedienstete des Landes Niedersachsen
vorgenommen. Die Klägerin beanstandete dies mehrfach ohne Erfolg und
wandte sich schließlich im Jahr 2017 an den Beauftragten für Datenschutz des
Landes Niedersachsen, der die Eingabe zuständigkeitshalber an den Bundesbe-
auftragten für Datenschutz und Informationssicherheit weiterleitete. Dieser teilte
der beklagten Bundesrepublik Deutschland am 10. April 2019 mit, dass die dor-
tige Praxis unzulässig sei. Die Beklagte änderte daraufhin mit Organisationsver-
fügung vom 22. August 2019 die beanstandete Praxis.
3 Soweit für das Revisionsverfahren noch von Interesse, begehrt die Kläge-
rin mit ihrer Klage die Feststellung, dass die Beklagte wegen rechtswidriger Wei-
tergabe von besonders geschützten Daten an Landesbedienstete zur Leistung
von Schadensersatz verpflichtet sei. Erst- und zweitinstanzlich hat die Klägerin
zudem ein weiteres, auf den Vorwurf des Mobbings gestütztes Feststellungsbe-
gehren geltend gemacht.
4 Das Landgericht hat die Klage insgesamt ab-, das Oberlandesgericht die
Berufung der Klägerin zurückgewiesen. Mit ihrer vom Berufungsgericht be-
schränkt zugelassenen Revision verfolgt die Klägerin ihren Feststellungsan-
spruch wegen Verletzung der Datenschutz-Grundverordnung weiter.
Entscheidungsgründe:
I.
5 Das Berufungsgericht (ZD 2023, 620) hat die Voraussetzungen für einen
Anspruch aus Art. 82 DSGVO für nicht gegeben erachtet.
6 Allerdings habe die generelle Bearbeitung der Personalakte der Klägerin
durch Landesbedienstete gegen datenschutzrechtliche Vorschriften verstoßen.
Die Beklagte gehe selbst von der offensichtlichen Rechtswidrigkeit ihrer damali-
gen Verwaltungspraxis aus und habe zu den Einzelheiten der Personalaktenbe-
arbeitung nicht näher vorgetragen. Ein Fall der zulässigen Erhebung und Ver-
wendung von Personalakten im Auftrag nach § 111a Abs. 1 BBG in der bis zum
25. November 2019 geltenden Fassung (im Folgenden: aF) liege ersichtlich nicht
vor; die vorherige Zustimmung der obersten Dienstbehörde werde nicht behaup-
tet.
7 Jedoch fehle es an der Darlegung der Wahrscheinlichkeit des Eintritts ei-
nes Schadens bei der Klägerin. Einen materiellen Schaden habe die Klägerin
nicht behauptet. Die Klägerin habe auch nicht dargetan, dass nach dem Inkraft-
treten der Datenschutz-Grundverordnung am 25. Mai 2018 ein immaterieller
Schaden wahrscheinlich eingetreten sei. Die nach dem Vorbringen der Klägerin
seit Oktober 2020 aufgetretenen gesundheitlichen Beschwerden ließen sich nicht
auf die bereits seit dem Jahr 2013 erfolgte und im August 2019 beendete Führung
der Personalakten durch Landesbedienstete zurückführen.
8 Der immaterielle Schaden liege hier auch nicht in dem bloßen Kontrollver-
lust. Zwar liege in dem Verlust der Kontrolle über personenbezogene Daten ein
möglicher Schaden, etwa wenn diese an einen unbeteiligten und unberechtigten
Dritten übermittelt würden, wodurch der Betroffene bloßgestellt werde und ihm
eine Stigmatisierung drohe. Zu einem immateriellen Schaden zählten auch
Ängste, Stress sowie Komfort- und Zeiteinbußen. Der Verpflichtung zum Aus-
gleich eines immateriellen Schadens müsse aber eine benennbare und insoweit
tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen, die beispiels-
weise in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden
„Bloßstellung“ liegen könne. Das Gericht habe zu beurteilen, ob durch die
DSGVO-Verletzung eine durchschnittlich im Datenschutz sensibilisierte Person
solch negative Gefühle entwickeln würde, die über jene hinausgingen, welche
man automatisch entwickle, wenn ein Gesetz zu seinen Ungunsten verletzt
werde. Der Beeinträchtigung müsse ein Gewicht zukommen. Nicht schon jeder,
allein durch die Verletzung an sich hervorgerufene Ärger sei auszugleichen. Ent-
scheidend sei, dass die Datenschutzverletzung über eine individuell empfundene
Unannehmlichkeit hinausgehe oder das Selbstbild oder Ansehen einer Person
ernsthaft beeinträchtige, wenn nicht der datenschutzrechtliche Verstoß eine Viel-
zahl von Personen in gleicher Weise betreffe und Ausdruck einer bewussten,
rechtswidrigen und im großen Stil betriebenen Kommerzialisierung sei.
9 Übertragen auf den Streitfall sei hier anders als bei der Veröffentlichung
von Daten kein Kontrollverlust gegeben. Die Landesbediensteten, die im Rah-
men einer Verwaltungspraxis für die Bundesbehörde tätig geworden seien, un-
terlägen im gleichen Umfang wie in der Personalverwaltung tätige Bundesbe-
amte der dienstlichen Verschwiegenheitspflicht. Zudem habe die Klägerin weder
ein Gefühl der Hilflosigkeit noch der Bloßstellung behauptet. Zwar sei die Daten-
schutzverletzung auch gegenüber weiteren Bundesbeamten begangen worden,
sie sei jedoch nicht Ausdruck einer bewussten Kommerzialisierung.
II.
10 Diese Erwägungen halten der rechtlichen Überprüfung nicht stand. Der mit
der Revision noch weiterverfolgte Feststellungsantrag der Klägerin aus Art. 82
DSGVO ist zulässig und begründet.
11 1. Das Feststellungsbegehren der Klägerin ist zulässig. Insbesondere
steht dem nach § 256 Abs. 1 ZPO erforderlichen und auch in der Revisions-
instanz von Amts wegen zu prüfenden (vgl. BGH, Urteil vom 21. Februar 2017
– XI ZR 467/15, NJW 2017, 1823 Rn. 14 mwN) Vorhandensein eines Feststel-
lungsinteresses unter den Umständen des Streitfalles nicht der Vorrang der Leis-
tungsklage entgegen. Zwar beruht der noch streitgegenständliche Anspruch auf
einem zeitlich begrenzten und bereits abgeschlossenen Sachverhalt, so dass der
Klägerin die Bezifferung des ihr insoweit entstandenen Schadens nunmehr
durchaus möglich und zumutbar sein dürfte. Doch hatte die Klägerin ihren An-
spruch zunächst in Verbindung mit dem weitergehenden Vorwurf des zum Zeit-
punkt der Klageerhebung nach andauernden Mobbings geltend gemacht, wes-
halb der einheitliche Feststellungsantrag zu diesem Zeitpunkt zulässig war (vgl.
Senat, Urteil vom 19. April 2016 – VI ZR 506/14, NJW-RR 2016, 759 Rn. 6, 8
mwN). Dass dieser Teil des ursprünglichen Feststellungsbegehrens in der Revi-
sionsinstanz nicht mehr Gegenstand des Verfahrens ist, macht die ursprünglich
zulässige Feststellungsklage nicht unzulässig (vgl. BGH, Urteil vom 4. November
1998 – VIII ZR 248/97, NJW 1999, 639, juris Rn. 15 mwN).
12 2. Der geltend gemachte Feststellunganspruch ist auch begründet, Art. 82
Abs. 1 DSGVO. Nach der Rechtsprechung des Gerichtshofes der Europäischen
Union (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch im
Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grund-
verordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie
einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei
diese drei Voraussetzungen kumulativ sind (EuGH, Urteile vom 4. Oktober 2024
– C-507/23, K&R 2024, 730 Rn. 24 – Patērētāju tiesību aizsardzības centrs; vom
11. April 2024 – C-741/21, NJW 2024, 1561 Rn. 34 – juris; vom 25. Januar 2024
– C-687/21, NJW 2024, 2009 Rn. 58 – MediaMarktSaturn). Diese Voraussetzun-
gen sind vorliegend erfüllt.
13 a) Ein Verstoß gegen die Datenschutz-Grundverordnung liegt nach den
getroffenen Feststellungen vor. Das Berufungsgericht hat die von der Beklagten
bis zum Erlass der Organisationsverfügung vom 22. August 2019 geübte Praxis,
die Verwaltung der Personalakten von Bundesbeamten wie der Klägerin durch
Bedienstete des Landes Niedersachsen vornehmen zu lassen, als von § 111a
BBG aF i.V.m. § 26 BDSG i.V.m. Art. 88 DSGVO nicht gedeckte Verarbeitung
personenbezogener Daten durch Dritte und damit als Verstoß gegen die Daten-
schutz-Grundverordnung (der Sache nach: gegen Art. 5 Abs. 1 Buchst. a, Art. 28
DSGVO) gewertet. Die Beklagte sei selbst von der offensichtlichen Rechtswid-
rigkeit dieser Praxis ausgegangen und habe weder näher zu den Einzelheiten
der geübten Personalaktenverwaltung vorgetragen noch eine vorherige Zustim-
mung der obersten Dienstbehörde behauptet. Hiergegen wendet die Beklagte
auch mit der Revisionserwiderung nichts ein; Rechtsfehler sind insoweit auf der
Grundlage der vom Berufungsgericht getroffenen und nicht mit Gegenrügen an-
gegriffenen Feststellungen im Übrigen nicht ersichtlich.
14 b) Zu Unrecht hat das Berufungsgericht einen durch diesen Verstoß gegen
die Datenschutz-Grundverordnung verursachten Schaden der Klägerin verneint.
Der Schaden liegt hier bereits in dem durch die Überlassung ihrer Personalakte
an Bedienstete des Landes verursachten vorübergehenden Verlust der Kontrolle
der Klägerin über ihre in ihrer Personalakte enthaltenen personenbezogenen Da-
ten.
15 aa) Schon der bloße Kontrollverlust kann, wie der Senat in Umsetzung der
jüngeren Rechtsprechung des Gerichtshofs (Urteile vom 4. Oktober 2024
– C-200/23, juris Rn. 145, 156 i.V.m. 137- Agentsia po vpisvaniyata; vom 20. Juni
2024 – C-590/22, DB 2024, 1676 Rn. 33 – PS GbR; vom 11. April 2024 – C-741/21,
NJW 2024, 1561 Rn. 42 – juris; vgl. zuvor bereits EuGH, Urteile vom 25. Januar
2024 – C-687/21, NJW 2024, 2009 Rn. 66 – MediaMarktSaturn; vom 14. Dezem-
ber 2023 – C-456/22, NZA 2024, 56 Rn. 17-23 – Gemeinde Ummendorf sowie
– C-340/21, NJW 2024, 1091 Rn. 82 – Natsionalna agentsia za prihodite) ent-
schieden hat, einen ersatzfähigen immateriellen Schaden im Sinne des Art. 82
Abs. 1 DSGVO darstellen (Senat, Urteil vom 18. November 2024 – VI ZR 10/24,
WM 2024, 2301 Rn. 30 mwN). Anders als das Berufungsgericht meint, muss der
Verpflichtung zum Ausgleich keine über diesen Kontrollverlust hinausgehende
„benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegen-
überstehen“; auch muss der Beeinträchtigung des Betroffenen kein besonderes
„Gewicht“ zukommen, das „über eine individuell empfundene Unannehmlichkeit
hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt“ (vgl. Se-
nat, aaO Rn. 29 mwN).
16 bb) Nach diesen Grundsätzen liegt der Schaden hier ohne Weiteres darin,
dass die Beklagte auch nach dem 25. Mai 2018 die personenbezogenen, in deren
Personalakte enthaltenen Daten der Klägerin hierzu nicht berechtigten Dritten,
nämlich Bediensteten des Landes Niedersachsen, zur Bearbeitung überlassen
und diese Praxis erst mit Organisationsverfügung vom 22. August 2019 beendet
hat. Der vom Berufungsgericht in diesem Zusammenhang angeführte Umstand,
dass auch die mit Personalangelegenheiten betrauten Bediensteten des Landes
Niedersachsen zur Verschwiegenheit verpflichtet waren, steht der Annahme ei-
nes Schadens insoweit dem Grunde nach nicht entgegen, sondern wird erst bei
Bemessung der Höhe des zu leistenden Schadensersatzes (§ 287 ZPO) zu be-
rücksichtigen sein (s. zu den Bemessungskriterien weiterführend Senat, aaO
Rn. 92 ff., insb. 99).
17 c) Das angegriffene Urteil stellt sich, anders als die Revisionserwiderung
meint, auch nicht aus anderen Gründen als richtig dar, § 561 ZPO. Entgegen der
Auffassung der Beklagten ist der Feststellungsanspruch der Klägerin hier nicht
nach dem Rechtsgedanken des § 839 Abs. 3 BGB deshalb zu verneinen, weil
die Klägerin es versäumt hätte, primäre Rechtsmittel gegen die von der Beklag-
ten geübte Praxis der Personalaktenverwaltung zu ergreifen. Der Rechtsgedanke
des § 839 Abs. 3 BGB lässt sich auf den unionsrechtlichen Anspruch aus Art. 82
Abs. 1 DSGVO nicht übertragen. Anders als der beamtenrechtliche Schadenser-
satzanspruch, etwa wegen Verletzung der Fürsorgepflicht bei „Mobbing“, bei
dem dies angenommen wird (vgl. hierzu BVerwG, Urteil vom 28. März 2023 – 2 C
6/21, BVerwGE 178, 116 Rn. 18, 30 mwN), findet der Anspruch aus Art. 82 Abs. 1
DSGVO seinen Rechtsgrund nicht im Beamtenverhältnis. Der Anspruch aus
Art. 82 Abs. 1 DSGVO ist hiervon vielmehr unabhängig und kann in Anspruchs-
konkurrenz neben einen Amtshaftungsanspruch aus § 839 BGB i.V.m. Art. 34
GG treten (BFH, Beschluss vom 28. Juni 2022 – II B 93/21, juris Rn. 17; OLG
Hamm, GRUR-RS 2023, 1263 Rn. 63 ff., 94, 146; jeweils mwN). Die vom Ge-
richtshof konturierten Voraussetzungen des unionsrechtlichen Anspruchs aus
Art. 82 Abs. 1 DSGVO dem Grunde nach (vgl. oben II.2) sind daher grundsätzlich
abschließend zu verstehen und lassen sich auch in dem hier vorliegenden Fall
der Betroffenheit einer Beamtin und einem Datenschutzverstoß ihres Dienstherrn
nicht um eine aus nationalem Recht abgeleitete, zusätzliche Anspruchshürde er-
gänzen (vgl. Frenzel in Paal/Pauly, DS-GVO/BDSG, 3. Aufl., Art. 82 DSGVO
Rn. 12, 20; Boehm in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutz-
recht, 2. Aufl., Art. 82 DSGVO Rn. 43). Abgesehen davon ist nicht ersichtlich,
inwiefern die von der Klägerin erfolglos unternommenen „Beanstandungen“ und
die anschließende erfolgreiche Einschaltung der Datenschutzbeauftragten des
Landes und des Bundes nicht ohnehin einer etwaigen Schadensabwendungsob-
liegenheit genügt haben
