Bundesarbeitsgericht fragt den EuGH: wie ist das Verhältnis von Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 DSGVO und welche Faktoren spielen beim Schadensersatz nach Art. 82 DSGVO eine Rolle?

Das Bundesarbeitsgericht (BAG) legt dem EuGH mit Beschluss vom 26.08.2021, 8 AZR 253/20 (A) einige praxisrelevante Fragen vor, die nicht nur speziell den Bereich des Beschäftigtendatenschutzes betreffen.

Eine Frage des BAG ist etwa, ob die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten davon abhängt, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?

Hierbei geht es um die durchaus umstrittene Frage, ob neben der Erfüllung einer Ausnahme nach Art. 9 Abs. 2 DSGVO zusätzlich ein Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO erfüllt sein muss. Rein praktisch würde dies oft zusätzlichen Prüfungs- bzw. Rechtfertigungsaufwand bedeuten.

Zwei weitere Fragen des BAG betreffen den Schadensersatzanspruch nach Art. 82 DSGVO.

Zum einen fragt das BAG, ob Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter hat und ob dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden muss? Die Antwort des EuGH auf diese Frage dürfte ebenfalls insgesamt für Schadensersatzansprüche in Zukunft relevant sein, da sie generell den Charakter dieses Anspruchs und seine Zielrichtung betrifft.

Zum anderen fragt das BAG, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters ankommt? Insbesondere möchte das BAG wissen, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden darf?

Landgericht Frankfurt: Kein Schadensersatzanspruch allein wegen fehlender Vereinbarung zwischen gemeinsam Verantwortlichen

Mit Urteil vom 18.9.2020 (Az. 2-27 O 100/20) hat das Landgericht Frankfurt am Main einige interessante Aussagen rund um Schadensersatzansprüche nach Art. 82 DSGVO getroffen. Ich beschränke mich hier auf solche zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO.

Sachverhalt

In dem Verfahren ging es (vermute ich), um Ansprüche eines ehemaligen Mitglieds des Bonusprogramms von Mastercard „Priceless Specials“, bei dem es im Jahr 2019 zu einem Sicherheitsvorfall bei einem Dienstleister kam, aufgrund dessen Datensätze der Teilnehmer im Internet landeten. Der Kläger machte aus verschiedenen Gründen Schadensersatzansprüche geltend. U.a. auch mit folgender Begründung:

„Dass zwischen der Beklagten und der XXX eine Vereinbarung nach Art. 26 DSGVO fehle, obwohl beide ausweislich des vorgelegten Datenverarbeitungsvertrages Zwecke und Mittel der Verarbeitung durch die XXX festgelegt hätten, verstoße gleichfalls gegen die DSGVO.“

Der Kläger machte mit der Behauptung, es fehle an einer Vereinbarung zur gemeinsamen Verantwortlichkeit, was ihm zusätzlich nicht mitgeteilt worden sei, einen Schadensersatzanspruch in Höhe von insgesamt 1200 EUR geltend.

Entscheidung

Das LG musste sich also auch mit der Frage befassen, ob das (angebliche) Fehlen einer Vereinbarung nach Art. 26 Abs. 1 S. 2 DSGVO bereits einen ersatzfähigen Schaden für betroffene Personen darstellt. Nach Ansicht des Gerichts ist dies jedoch nicht der Fall.

Das LG führt hierzu aus:
„Überdies regelt Art. 26 DSGVO lediglich, dass bei zwei oder mehr Verantwortlichen festzulegen ist, wer welche Verpflichtung gemäß der Verordnung erfüllt. Wo der Schaden des Klägers liegen soll, wenn dies nicht geschehen ist und er nicht informiert wurde, ist nicht ersichtlich. Dies gilt insbesondere vor dem Hintergrund des Art. 26 Abs. 3 DSGVO“.

Das Gericht geht also davon aus, dass allein ein möglichen Fehlen der Vereinbarung zwischen gemeinsam Verantwortlichen noch nicht einen ersatzfähigen Schaden begründet. Dies liegt durchaus auf der Linie auch anderer Gerichte zu dem Schadensersatzanspruch nach Art. 82 DSGVO, die stets verlangen, dass ein konkreter Schaden durch Betroffene auch nachgewiesen wird. Allein der Verstoß gegen eine DSGVO-Pflicht, berechtigt noch nicht per se zum Schadensersatz. Das LG begründet seine Ansicht zudem auch mit einem Verweis auf Art. 26 Abs. 3 DSGVO, wonach Betroffene, unabhängig von Regelungen in der Vereinbarung, ihre Rechte gegen jeden der Verantwortlichen geltend machen können.

Fazit Allein eine fehlende JC-Vereinbarung begründet für sich noch keinen Schadensersatzanspruch. Anders mag dies sein, wenn tatsächlich ein Schaden eingetreten ist, der kausal auf diesem Mangel beruht. Spannend ist sicherlich auch die Frage, ob man die Argumentation des LG auf Verträge nach Art. 28 DSGVO übertragen kann.

Landgericht Landshut: Keine Schadensersatzansprüche nach Art. 82 gegen den Datenschutzbeauftragten

Das Landgericht (LG) Landshut hatte über mögliche Schadenersatzansprüche wegen vorgebrachter Verstöße gegen die DSGVO zu entscheiden. In dem Verfahren machte ein Wohnungseigentümer Ansprüche sowohl gegen die Hausverwaltung als auch gegen den (externen) Datenschutzbeauftragten der Hausverwaltung geltend. Das LG wiese die Klage mit Endurteil vom v. 06.11.2020 – 51 O 513/20 als unbegründet ab.

Sachverhalt

Der Kläger ist Eigentümer der Eigentumswohnung und die Beklagte zu 1) die bis 31.12.2019 zuständige Hausverwaltung. Der Beklagte zu 2) ist der von der Beklagten zu 1) eingesetzte externer Datenschutzbeauftragte.

In der Wohnanlage gab es einen Legionellenbefall, von dem auch die streitgegenständliche Wohnung des Klägers betroffen war. Die Hausverwaltung wurde zu einer Eigentümerversammlung auch eine Tagesordnung an alle Wohnungseigentümer versendet. Dort wurde auch das Thema des Legionellenbefalls angesprochen, sowie die betroffenen Wohnungen und Eigentümer genannt. Hierin sah der Wohnungseigentümer einen Verstoß gegen Art. 6 DSGVO.

Entscheidung

Das LG wies die Klage als unbegründet ab.

Nach Ansicht des Gerichts lag hier durch die Nennung der Wohnung des Klägers sowie die Nennung des Namens des Klägers als Eigentümer der Wohnung kein Verstoß gegen die Vorgaben der DSGVO vor.

Zudem äußert sich das LG daneben auch zu einem möglichen Schadensersatzanspruch. Materielle Schäden wurden vom Kläger weder substantiiert vorgetragen noch belegt. Daher scheide ein solcher Anspruch auf Grundlage von Art. 82 DSGVO aus.

Auch einen Anspruch auf Ersatz eines immateriellen Schadens lehnt das LG ab. Art. 82 Abs. 1 DSGVO sehe zwar eine Erstattungspflicht für immaterielle Schäden vor. Diese Pflicht sei auch nicht nur auf schwere Schäden beschränkt.

Allein die Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen“.

Vielmehr, so das LG, muss die Verletzungshandlung in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben.

Und zuletzt äußert sich das LG auch zu einem möglichen Schadensersatzanspruch gegen den externen Datenschutzbeauftragten der Hausverwaltung. Zurecht lehnt das LG diesen auf der Grundlage von Art. 82 DSGVO ab.

Der Beklagte zu 2) ist als Datenschutzbeauftragter nicht „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO. Verantwortlicher für Verarbeitung von personenbezogenen Daten im datenschutzrechtlichen Sinne war bezüglich der Versendung der Tagesordnung nur die Beklagte zu 1).“

Das LG wendet hier richtigerweise also „stur“ Art. 82 Abs. 1 DSGVO an. Danach besteht der Anspruch auf Schadensersatz „gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“. Der Datenschutzbeauftragte ist aber keines von beiden. Nur, weil er für einen Verantwortlichen oder Auftragsverarbeiter tätig ist, tritt er nicht in dessen Pflichten nach der DSGVO ein.

Fazit

Natürlich sollte man als DSB beachten, dass man nicht im haftungsfreien Raum agiert. Es können, etwa bei rechtlicher Falschberatung, zB Ansprüche des Auftraggebers im Raum stehen. Jedoch zeigt das Urteil, dass der DSB nicht als Haftungssubjekt neben dem Verantwortlichen für Schadensersatzansprüche zur Verfügung steht.

Bundesregierung: Schadensersatzhaftung wegen Sorgfaltspflichtverstoß nach DSGVO

Die Bundesregierung, konkret das Bundesgesundheitsministerium, hat eine schriftliche Frage des Abgeordneten Dr. Kessler im Bundestag beantwortet, die sich mit der Haftung für Verstöße gegen die DSGVO befasst.

Die Frage (BT Drs. 19/11401, pdf S. 87) bezieht sich auf die Haftung für Verstöße gegen die DSGVO im Gesundheitsbereich, konkret in ärztlichen, zahnärztlichen oder psychotherapeutischen Praxen.

Zunächst verweist die Bundesregierung auf Art. 82 DSGVO und auch § 83 BDSG. Der Verweis auf § 83 BDSG ist hier meines Erachtens falsch, da § 83 BDSG eine Umsetzung der Vorgaben der Richtlinie 2016/680 darstellt und diese auf die Tätigkeiten von Praxisinhabern keine Anwendung findet.

Weiter führt die Bundesregierung in ihrer Antwort aus, dass Verantwortlicher (iSd DSGVO) in einer ärztlichen, zahnärztlichen oder psychotherapeutischen Praxis grundsätzlich der oder die Inhaber dieser Praxis sind. Diese Ansicht dürfte nicht weiter überraschen.

Interessant ist meines Erachtens die nachfolgende Einschätzung. Die Bundesregierung verweist auf Art. 24 DSGVO wonach der Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen hat, um sicherzustellen, dass die Verarbeitung gemäß den Vorgaben der DSGVO erfolgt.

Hat er seine diesbezügliche Sorgfaltspflicht nicht erfüllt, haftet er nach Artikel 82 DSGVO und § 83 BDSG für einen daraus resultierenden Schaden.

Die Bundesregierung scheint hier aus Art. 24 DSGVO mithin eine allgemeine Sorgfaltspflicht des Verantwortlichen (nur für diesen gilt Art. 24 DSGVO) abzuleiten. Diese Sorgfaltspflicht bezieht die Bundesregierung ganz generell auf die Verarbeitung, die die Vorgaben der DSGVO einhalten muss. Dabei bleibt die Aussage der Bundesregierung zum Pflichtenumfang vage und weit. Das ist aber wenig verwunderlich, da Art. 24 Abs. 1 DSGVO selbst auch sehr offen formuliert ist. Für die Praxis interessant dürfte an der Aussage in jedem Fall sein, dass die Bundesregierung in Art. 24 DSGVO eine allgemeine Sorgfaltspflicht verortet, deren Nichteinhaltung zur Schadensersatzhaftung führen kann.

Zu beachten ist hierbei, dass Art. 24 DSGVO selbst eigentlich keine weiteren konkreten Pflichten vorgibt, sondern eher als General- bzw. Auffangnorm in der DSGVO zur Verantwortlichkeit des Verantwortlichen angesehen wird. Hinzuweisen ist auch noch darauf, dass Art. 24 DSGVO sich ausdrücklich auf die Verarbeitung bezieht, die gemäß der DSGVO erfolgen muss. Art. 24 DSGVO erstreckt sich mithin nicht auf nicht-verarbeitungsbezogene Pflichten, wie etwa die Benennung eines DSB.

OLG Dresden: Kein Schadensersatz und Schmerzensgeld für Bagatellverstöße gegen die DSGVO

Entscheidungen zum Anspruch auf Schadensersatz und vor allem auf Schmerzensgeld (also Ersatz immaterieller Schäden) wegen Verstößen gegen die DSGVO sind noch sehr selten. Eine erste Entscheidung hierzu traf das AG Diez (Urteil vom 7.11.2018 – 8 C 130/18). Nun hat das Oberlandesgericht Dresden (OLG) in einem kürzlich erlassenen Beschluss (Beschluss vom 11.6.2019, Az.: 4 U 760/19, abrufbar hier in der Datenbank des OLG Sachsen und hier als PDF)  weitere und umfassendere Ausführung zur Auslegung und Anwendung des Art. 82 DSGVO gemacht.

Sachverhalt

Der Kläger nimmt die Beklagte (Betreiberin eines sozialen Netzwerkes im Internet) wegen einer am 31.3.2018 erfolgten Löschung eines Posts und der Sperrung seines Kontos durch Versetzung in den read-only Modus auf Feststellung der Rechtswidrigkeit, Freischaltung des Beitrags, Auskunftserteilung, materiellen und immateriellen Schadensersatz und Erstattung von außergerichtlichen Rechtsanwaltskosten in Anspruch.

Das Landgericht hat die Beklagte im Wege des Versäumnisurteils zur Wiederfreischaltung des Beitrags verurteilt und festgestellt, dass die Löschung/Sperrung rechtswidrig waren. Die übrigen Ansprüche hat es zurückgewiesen. Hiergegen wendet sich die Berufung, die insbesondere die Auffassung vertritt, der Beitrag sei als zulässige Meinungsäußerung verfassungsrechtlich so weitgehend geschützt, dass dessen Löschung und die zeitweilige Sperrung des Nutzerkontos weitgehende Auskunfts- und Schadensersatzansprüche auslösten.

Entscheidung

Nach Auffassung des OLG scheiden vorliegend die geltend gemachten Ansprüche nach Art. 82 Abs. 1 DSGVO aus.

Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen.

Zum einen ist nach Ansicht des OLG bereits zweifelhaft, ob Art. 82 DSGVO auf die am 31.3.2018 erfolgte Löschung und die spätestens am 1.4.2018 beendete Sperrung Anwendung findet. Denn nach Art. 99 Abs. 2 DSGVO gilt die DSGVO erst ab dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten. Anders als ein Anspruch auf Unterlassung einer Sperrung oder Freischaltung eines Accounts knüpft der hier geltend gemachte Anspruch an einen in der Vergangenheit liegenden und vollständig abgeschlossenen Sachverhalt an, der vor dem Inkrafttreten der DSGVO liegt.

Zum anderen kann eine Entscheidung zu dieser Frage aber dahinstehen, weil nach Auffassung des OLG die Voraussetzungen für einen Anspruch nach Art. 82 DSGVO ohnehin nicht vorliegen.

In der Löschung des Posts und der Sperrung des Accounts des Klägers liegt kein Verstoß gegen zwingende Vorgaben der DSGVO.

Die Erhebung und Verarbeitung (hierzu zählt das OLG auch die Löschung des Posts und die Sperrung des Kontos) der Daten des Klägers beruhen nämlich auf der vom Kläger vorab erteilten Zustimmung zu den Nutzungsbedingungen der Beklagten. Hier verweist das OLG auf Art. 6 Abs. 1 lit a DSGVO. Diese sei gerade nicht daran geknüpft, dass auch die Beklagte ihren vertraglichen Verpflichtungen nachkommt und umfasst daher auch Zeiträume, in denen der Account gesperrt ist.

Diesbezüglich ist meines Erachtens kritisch anzumerken, ob eine Zustimmung zu den Nutzungsbedingungen (also den AGB) tatsächlich als datenschutzrechtliche Einwilligung in die Verarbeitung personenbezogener Daten angesehen werden. Denn man könnte überlegen, ob eine solche pauschale Einwilligung in einen kompletten Vertragstext wegen Unbestimmtheit nicht unwirksam ist. Nach ErwG 42 DSGVO sollte die betroffene Person, damit sie in Kenntnis der Sachlage einwilligen kann, mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte zudem nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.

Ob diese Anforderungen vorliegend erfüllt waren, wird vom OLG leider nicht weiter thematisiert. Eventuell ist das OLG hier eigentlich der Ansicht, dass die Löschung des Posts und die Sperrung des Kontos auch auf der Grundlage der Nutzungsbedingungen und Community Standards (also des Vertrages mit dem Betroffenen) zulässig ist. Dann wäre Rechtsgrundlage wohl eher Art. 6 Abs. 1 lit. b DSGVO.

Zudem stellt das OLG fest, dass dem Kläger durch die Sperrung ein materieller oder immaterieller Schaden im Sinne des Art. 82 DSGVO nicht entstanden ist. Dann trifft das OLG eine relevante Aussage:

Die bloße Sperrung seiner Daten stellt ebenso wie der Datenverlust noch keinen Schaden im Sinne der DSGVO dar.

Diese Einschätzung kann sich etwa in Fällen von Datenschutzverletzungen (data breach) als praxisrelevant herausstellen. Nach Ansicht des OLG hat die behauptete Hemmung in der Persönlichkeitsentfaltung durch die dreitägige Sperrung allenfalls Bagatellcharakter.

Das OLG verweist dann auf Ansichten, dass eine wirksame Durchsetzung europäischen Datenschutzrechts einen Abschreckungseffekt und den Verzicht auf die nach bisherigem Recht geltende Erheblichkeitsschwelle erfordere. Jedoch

rechtfertigt dies keinen Ausgleich immaterieller Bagatellschäden. Das Datenschutzrecht schützt zwar per se ein subjektives Recht, das einen starken Bezug zum persönlichen Empfinden des Einzelnen hat. Dennoch ist Art. 82 nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet.

Das OLG positioniert sich hier also so klar, was die Frage des Ersatzes von Schäden bei unzulässigen Datenverarbeitungen betrifft. Ähnlich wie schon vor einiger Zeit geht das Gericht davon aus, dass „Bagatellverstöße“ nicht per se einen solchen Schadensersatz begründen. Die praktisch relevante Frage ist dann natürlich, wann die Erheblichkeitsschwelle zu einem Verstoß überschritten wird, der keine Bagatelle mehr darstellt. Als grobes Bewertungskriterium führt das OLG hierzu aus:

Anders mag dies in den Fällen sein, in denen der datenschutzrechtliche Verstoß eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist.

Zudem bringt das OLG dann noch einen weiteren, durchaus interessanten, Gedanken an. Zwar gehöre die Kommerzialisierung von Nutzerdaten zum Geschäftsmodell der Beklagten.

Die Sperrung des klägerischen Accounts befördert jedoch diese Kommerzialisierung nicht, sondern behindert sie vielmehr, weil der Kläger in dieser Zeit keine Daten „produziert“, die die Beklagte verwerten könnte.

Zuletzt vertritt das OLG die Ansicht, dass gegen eine Ausdehnung des immateriellen Schadensersatzes auf Bagatellschäden auch das erhebliche Missbrauchsrisiko spricht,

das mit der Schaffung eines auf Rechtsfolgenseite nahezu voraussetzungslosen Schmerzensgeldanspruchs gerade im Bereich des Datenschutzrechts einherginge.

Neues Urteil des EuGH zur internationalen Zuständigkeit bei Urheberrechtsverletzungen im Internet

Mit Urteil vom 22. Januar 2015 (C-441/13) hat der Europäische Gerichtshof (EuGH) über die Auslegung von Art. 5 Abs. 3 der Verordnung 44/2001 (EuGVVO) zur internationalen Zuständigkeit von Gerichten bei Urheberrechtsverletzungen entschieden, dass im Fall der Geltendmachung einer Verletzung von Urheber? und verwandten Schutzrechten durch die Veröffentlichung von geschützten Lichtbildern auf einer Website, das Gericht zuständig ist, in dessen Bezirk diese Website zugänglich ist.

Sachverhalt
Frau Hejduk (die Klägerin des Ausgangsverfahrens), eine professionelle Architektur-Fotografin und Urheberin von Lichtbildwerken, hatte Bauten des österreichischen Architekten Georg W. Reinberg abgelichtet. Herr Reinberg soll im Rahmen einer von EnergieAgentur (ein deutsches Unternehmen; die Beklagte des Ausgangsverfahrens) veranstalteten Tagung diese Fotografien zur Illustration seiner Bauten verwendet haben, wozu er aufgrund einer Vereinbarung mit Frau Hejduk auch berechtigt war. EnergieAgentur soll jedoch anschließend diese Bilder ohne Zustimmung von Frau Hejduk und ohne Anführung einer Urheberbezeichnung auf ihrer Website (einer deutschen Homepage mit einer „.de“ Kennung) zum Abruf und Download bereitgehalten haben. Frau Hejduk verklagte das Unternehmen nun vor den österreichischen Gerichten, welche dem EuGH die Frage vorlegten, ob sie in dieser Situation überhaupt zuständig seien.

Entscheidung
Der EuGH stellt zunächst fest, dass Art. 5 Abs. 3 EuGVVO grundsätzlich eng auszulegen sei. Es handele sich um eine Ausnahme von dem in Art. 2 Abs. 1 EuGVVO aufgestellten Grundsatz, der die Zuständigkeit den Gerichten des Mitgliedstaats zuweist, in dessen Hoheitsgebiet der Beklagte seinen Wohnsitz hat. Danach führt das Gericht aus, dass nach seiner Rechtsprechung mit der Wendung „Ort, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“ in Art. 5 Nr. 3 EuGVVO sowohl der Ort der Verwirklichung des Schadenserfolgs als auch der Ort des für den Schaden ursächlichen Geschehens gemeint ist. Im Ergebnis kann der Beklagte nach Wahl des Klägers vor dem Gericht eines dieser beiden Orte verklagt werden kann.

Daneben muss beachtet werden, dass Urheberrechte zwar einheitlich in Europa in allen Mitgliedstaaten zu schützen sind, dass sie jedoch dem sog. Territorialitätsprinzip unterliegen. Dies bedeutet, dass Urheberrechte in jedem der Mitgliedstaaten nach dem dort anwendbaren materiellen Recht verletzt werden.

Ort des für den Schaden ursächlichen Geschehens
Danach macht sich der EuGH an die genauere Auslegung von Art. 5 Abs. 3 EuGVVO. Zunächst befasst sich der Gerichtshof mit dem zweiten möglichen Anknüpfungspunkt einer gerichtlichen Zuständigkeit, dem Ort des für den Schaden ursächlichen Geschehens. Dieses ist in dem vorliegenden Fall jedoch für die Begründung der Zuständigkeit des österreichischen Gerichts nicht maßgeblich. Denn in einem Fall wie dem des Ausgangsverfahrens, in dem die Verletzung von Urheberrechten durch die ohne Zustimmung des Urhebers erfolgte Veröffentlichung von Lichtbildern auf einer bestimmten Website im Raum steht, ist als das entscheidende „ursächliche Geschehen“ das Auslösen des technischen Vorgangs anzusehen, der zum Erscheinen der Lichtbilder auf dieser Website führt. Der EuGH führt aus, dass eine etwaige Verletzung der Urheberrechte durch das Verhalten des Inhabers dieser Website ausgelöst wird. Hieraus folge, dass das ursächliche Geschehen am Sitz des Unternehmens eintritt (hier: Deutschland) und damit keine Zuständigkeit des angerufenen Gerichts begründet werden konnte.

Ort der Verwirklichung des Schadenserfolgs
Danach prüft das Gericht die zweite Alternative für eine internationale Zuständigkeit, ob nämlich das österreichische Gericht über eine Anknüpfung an die Verwirklichung des geltend gemachten Schadenserfolgs zuständig sein kann. Hierfür muss bestimmt werden, wann ein Schaden in einem anderen Mitgliedstaat als dem verwirklicht oder zu verwirklichen droht, in dem das deutsche Unternehmen die Entscheidung, die Fotografien auf seiner Website zu veröffentlichen, getroffen und durchgeführt hat. Die Klägerin machte geltend, dass ihre Urheberrechte durch die Veröffentlichung ihrer Lichtbilder auf der Website von EnergieAgentur verletzt worden seien.

Der EuGH bestätigt zunächst, dass die von Frau Hejduk geltend gemachten Rechte in Österreich geschützt sind. Das beklagte deutsche Unternehmen führte jedoch in Bezug auf die Gefahr, dass der Schadenserfolg in einem anderen Mitgliedstaat als dem seines Sitzes eintritt, aus, dass seine Website, auf der die streitigen Lichtbilder veröffentlicht worden seien und die unter einem nationalen deutschen Top-Level-Domain-Namen, d. h. „.de“, betrieben werde, nicht auf Österreich ausgerichtet sei, so dass der Schadenserfolg nicht in diesem Mitgliedstaat eingetreten sei.

Diesem Argument stellt sich der EuGH jedoch entgegen. Es ergebe sich aus der Rechtsprechung des Gerichtshofs, dass Art. 5 Nr. 3 EuGVVO nicht verlangt, dass die fragliche Website auf den Mitgliedstaat des angerufenen Gerichts „ausgerichtet“ ist.

Unter Umständen wie denen des Ausgangsverfahrens ergibt sich der Schadenserfolg bzw. die Gefahr seiner Verwirklichung somit daraus, dass die Lichtbilder, an denen die von Frau Hejduk geltend gemachten Rechte bestehen, über die Website von EnergieAgentur in dem Mitgliedstaat des vorlegenden Gerichts zugänglich sind.

(Hervorhebung durch mich)

Zuletzt stellt der Gerichtshof klar, dass das angerufene österreichische Gericht in Anknüpfung an den Ort der Verwirklichung des Schadenserfolgs nur für die Entscheidung über den Schaden zuständig ist, der im Hoheitsgebiet des Mitgliedstaats verursacht worden ist, zu dem es gehört.

LG Wiesbaden: Domaininhaber ist nicht zwingend Diensteanbieter

Mit Urteil vom 18.10.2013 (Az. 1 O 159/13) hat das Landgericht Wiesbaden u. a. entschieden, dass der Inhaber einer Domain und auch der Admin-C nicht zwingend mit dem Diensteanbieter i. S. d. § 2 Abs. 1 Nr. 1 TMG gleichzusetzen sind.

Der Sachverhalt

Die Kläger machten sowohl vertragliche als auch deliktische Ansprüche wegen der Nichterfüllung eines Reisevertrags geltend. Sie buchten über eine Internetseite eine Reise, wobei der vollständige Reisepreis erst zu spät bezhalt wurde und die Reise dann nicht angetreten werden konnte. Die Kläger verlangten nun zum einen den Reisepreis und Schadenersatz für vertane Urlaubszeit, da sich ihrer Ansicht nach aus der fehlenden Zahlung ohne vorherige Mahnung kein Kündigungsrecht ableiten ließe und infolgedessen ihnen die Reise zu Unrecht verweigert worden sei. Daher verklagten sie zunächst das im Impressum auf der Webseite angegeben Unternehmen. An der dortigen Adresse konnte die Klage jedoch nicht zugestellt werden. Die Kläger berichtigten sodann die Beklagtenpartei in ihrer Klage, nachdem sie über eine Anfrage bei der DENIC eG den Namen und die Anschrift der dort als Domaininhaberin und administrative Ansprechpartnerin eingetragenen Dame herausgefunden hatten. Diese verteidigte sich damit, dass sie lediglich Webmasterin im Dienstleistungsauftrag sei und die nur Webseite aufgebaut und gewartet habe.

Die Entscheidung

Ich möchte hier nur die Ausführungen des Gerichts im Zusammenhang mit § 5 TMG wiedergeben. Das LG lehnte daneben aber sowohl einen Vertragsschluss mit der Webmasterin als auch einen Schadenersatzanspruch wegen einer Schutzgesetzverletzung nach § 823 Abs. 2 BGB i. V. m. § 17 HGB ab.

Die Kläger stützten ihren Schadenersatzanspruch auch auf eine Schutzgesetzverletzung nach § 823 Abs. 2 BGB i. V. m. § 5 TMG, also wegen Verstößen gegen die Impressumspflicht. Das LG erkannte auch in der Tat solche Verstöße. Jedoch war die Webmasterin hier nicht der von § 5 Abs. 1 TMG in Bezug genommene „Diensteanbieter“, den die Impressums- und Informationspflichten treffen. Der „Diensteanbieter“ ist in § 2 Abs. 1 Nr. 1 TMG legaldefiniert. Danach muss die betreffende Person die „Nutzung“ von Telemedien ermöglichen und nach Außen als Erbringer von Diensten auftreten. Wie jedoch lediglich die „Bereitstellung“ ermöglicht wird, ist unbeachtlich. Das LG führt aus, dass als Diensteanbieter regelmäßig der Homepage-Inhaber anzusehen sein wird. Auf die alleinige Inhaberschaft einer Domain lässt sich die telemedienrechtliche Verantwortlichkeit aber nicht stützen. Die Inhaberschaft der Webseite, also des abrufbaren Inhalts an sich, ist nämlich von der Inhaberschaft der Domain und auch von der Stellung als Admin-C zu unterscheiden. Ein zwingender Schluss, dass die unter einer Domain nutzbaren Telemedien tatsächlich vom Domaininhaber und Admin-C angeboten werden, dürfe nicht gezogen werden. Insbesondere fehle es am erforderlichen Auftritt nach außen i.S.d. Definition des Diensteanbieters.

Dieses Ergebnis rechtfertige sich auch vor dem Hintergrund, dass der Abruf der Webseite grundsätzlich auch ohne die Kenntnis und Eingabe des Domainnamens möglich sei, auch wenn dies in der Praxis kaum vorkommen werde. Denn der Abruf erfolgt nicht über den Domeinnamen, sondern durch die diesem Namen zugeordnete IP-Adresse. Das LG weist auch darauf hin, dass dieses Ergebnis mit Sinn und Zweck des § 5 TMG in Einklang steht, da sich die Impressumspflicht parallel zu den presserechtlichen Impressumspflichten verhält, die sich an den Betreiber des Presseorgans richten.

Eine solche Stellung wird weder durch die Domaininhaberschaft, d.h. durch das Recht an der Domain, noch durch die Eigenschaft als Admin-C, d.h. als technischer Ansprechpartner der DENIC eG, vermittelt.

Zuletzt befasste sich das Gericht noch mit dem Schutzgesetzcharakter des § 5 TMG, auch wenn es darauf nicht mehr entscheidungsehrblich ankam. Selbst wenn man § 5 TMG als Schutzgesetz ansehen würde, so bestünden nach Auffassung der Kammer jedenfalls Zweifel, ob der vorliegend geltend gemachte Schaden in den sachlichen Schutzbereich der Norm fällt. Zwar sollen die Informationen, welche über die Impressumspflicht öffentlich gemacht werden müssen, gerade dazu dienen, Betroffenen die effektive Geltendmachung ihrer Rechte zu ermöglichen. Nach Ansicht des LG erschiene es aber zu weitgehend, eine auf § 5 TMG beruhende, deliktische Haftung für die Verletzung von Pflichten aus vertraglichen Schuldverhältnisse, welche mittels des betreffenden Telemediums eingegangen wurden, zu statuieren. Ein solcher deliktischer Schadensersatzanspruch hätte nach Ansicht des Gerichts wohl nur in der Situation eigenständige Bedeutung, wenn der nicht impressumspflichtige Vertragspartne auf der einen Seite und der impressumspflichtige Diensteanbieter auf der anderen Seite personenverschieden sind. Das Gericht möchte die Haftung des Diesteanbieters jedoch nicht derart weit ausdehnen:

Dass der Diensteanbieter in einer solchen Konstellation aufgrund eines Impressumsfehlers für die pflichtgemäße Erfüllung sämtlicher, mittels des Telemediums begründeter Verträge einstehen soll, scheint angesichts des vom Diensteanbieters unter Umständen kaum zu steuernden Haftungsrisikos weder vom Gesetzgeber erstrebt, noch sinnvoll und tragbar.

OLG Celle: Unzulässigkeit der Drohung mit einer Datenübermittlung an die Schufa

Das OLG Celle hat mit Urteil vom 19.12.2013 (Az. 13 U 64/13) entschieden, dass es ein Inkassounternehmen zum einen zu unterlassen hat, personenbezogene Daten eines Betroffenen an die Schufa zu übermitteln, wenn die gesetzlichen Vorgaben fehlen und zum anderen mit solch einer Übermittlung zu drohen.
Continue reading

Australien: Gesetzesreform für besseren Schutz der Privatsphäre im digitalen Zeitalter

Im Juni 2013 erhielt die Australian Law Reform Commission (ALRC; eine Bundesbehörde, die Rechtsfragen des Justizministers beantwortet und Vorschläge für Modernisierungen des geltenden Rechts unterbreitet) den Auftrag, eine Untersuchung durchzuführen, inwieweit das australische Recht dahingehend angepasst werden kann, um schwere Eingriffe in die Privatsphäre zu verhindern und zu entschädigen.

Hierzu hat die ALRC nun ein erstes Themenpapier mit dem Titel „Serious Invasions of Privacy in the Digital Era“ veröffentlicht. Definiert sind darin zum einen 28 konkrete Fragen zu bestimmten Bereichen des Persönlichkeitsschutzes im digitalen Zeitalter und wie das geltende Recht hierauf reagieren kann. Zudem hat die ALRC in dem Themenpapier bereits den Status quo dargestellt und auch einige eigene Vorschläge unterbreitet.
Continue reading

Schadenersatz bei unerlaubter Verarbeitung personenbezogener Daten?

Eine kürzlich veröffentlichte Studie der OECD hat die Berechnungsmethoden und offiziellen wie auch inoffiziellen Marktpreise für verschiedene Arten personenbezogener Daten untersucht. Danach liege der Preis für die Daten zur Insolvenzauskunft eines US-Bürgers etwa bei 26.5 US-Dollar, für eine unveröffentlichte Telefonnummer müsste man 10 US-Dollar zahlen.

Schadenersatz bei rechtwidriger Datenverarbeitung?

Häufig wird der Betroffene von derlei Datenhandel überhaupt nichts mitbekommen. Welche rechtliche Möglichkeit besteht aber, wenn er dennoch Kenntnis erlangt? Kann er dann von dem Verantwortlichen Schadenersatz in Höhe des wirtschaftlichen „Wertes“ seiner Daten verlangen? Sollte es sich um besonders sensible Informationen handeln, kann er dann auch einen immateriellen, also finanziell nicht messbaren, Schaden geltend machen?
Continue reading