BECKMANN UND NORDA - Rechtsanwälte Bielefeld (Artikel mit Tag dsgvo)

VG Ansbach: Für Schadensersatzansprüche aus Art. 82 DSGVO gegen Behörden und öffentliche Stellen ist der ordentliche Rechtsweg und nicht der Verwaltungsrechtsweg eröffnet

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 21 Apr 2026 15:59:00 +0200

VG Ansbach
Beschluss vom 01.04.2026
AN 14 K 26.1164

Das VG Ansbach hat entschieden, dass für Schadensersatzansprüche aus Art. 82 DSGVO gegen Behörden und öffentliche Stellen der ordentliche Rechtsweg und nicht der Verwaltungsrechtsweg eröffnet ist.

Aus den Enstcheidungsgründen:
Das Verfahren ist nach Anhörung der Beteiligten gemäß § 173 Satz 1 VwGO i.V.m. § 17a Abs. 2 Satz 1 GVG an das Amtsgericht Nürnberg zu verweisen.

Der Kläger fordert im Klagewege von der Beklagten Schadensersatz nach Art. 82 DS-GVO in Höhe von zuletzt mindestens 20.000 EUR wegen rechtswidriger Speicherung seiner personenbezogenen Daten durch das Bundesamt für Migration und Flüchtlinge. Diese Klage wurde mit Beschluss vom 1. April 2026 von der zeitgleich erhobenen Klage auf Löschung der personenbezogenen Daten abgetrennt.

1. Der hinsichtlich der Schadensersatzklage beschrittene Verwaltungsrechtsweg ist im Sinne des § 173 Satz 1 VwGO, § 17a Abs. 2 Satz 1 GVG unzulässig. Bei dem geltend gemachten Anspruch aus Art. 82 DS-GVO handelt es sich um einen Schadensersatzanspruch aus der Verletzung öffentlichrechtlicher Pflichten im Sinne des § 40 Abs. 2 Satz 1 Halbs. 1 VwGO, sodass demnach der ordentliche Rechtsweg gegeben ist (im Ergebnis ebenso: VG Köln U.v. 23.2.2023 – 13 K 278/21 –, BeckRS 2023, 16294 Rn. 14; VG Stade Verweisungsbeschluss v. 7.8.2025 – 10 A 624/24 –, BeckRS 2025, 22882 Rn. 3; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25 –, BeckRS 2025, 36628 Rn. 3).

Eine Zuständigkeit der Verwaltungsgerichte folgt auch nicht aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 DS-GVO, da diese Vorschrift nur die internationale Zuständigkeit regelt (vgl. VG Köln U.v. 23.2.2023 – 13 K 278/21 –, BeckRS 2023, 16294 Rn. 15 m.w.N.; VG Stade Verweisungsbeschluss v. 7.8.2025 – 10 A 624/24 –, BeckRS 2025, 22882 Rn. 5; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25 –, BeckRS 2025, 36628 Rn. 4; Quaas in BeckOK Datenschutzrecht, 54. Ed. Stand: 1.11.2025, DS-GVO Art. 82 Rn. 46-46.3).

2. Damit ist der Rechtsstreit an das Amtsgericht Nürnberg als sachlich und örtlich zuständiges Gericht des ordentlichen Rechtswegs zu verweisen, § 173 Satz 1 VwGO i.V.m. § 17a Abs. 2 Satz 1 GVG.

Der Schadensersatzanspruch aus Art. 82 DS-GVO ist kein Amtshaftungsanspruch im Sinne des Art. 34 Satz 2 GG, sodass eine ausschließliche sachliche Zuständigkeit der Landgerichte gemäß § 71 Abs. 2 Nr. 2 GVG nicht gegeben ist (vgl. BFH, B.v. 28.6.2022 – II B 93/21 –, juris Rn. 14 ff.; BSG, B.v. 6.3.2023 – B 1 SF 1/22 R –, juris Rn. 19 ff.; VG Stuttgart, U.v. 20.6.2024 – 14 K 870/22 –, juris Rn. 23 ff.; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25, BeckRS 2025, 36628 Rn. 13 ff.).

Die sachliche Zuständigkeit richtet sich vielmehr nach § 1 ZPO i.V.m. §§ 23 Nr. 1, 71 Abs. 1 GVG, wonach Streitigkeiten über Ansprüche, deren Gegenstand an Geld oder Geldeswert die Summe von zehntausend Euro nicht übersteigt, von der Zuständigkeit der Amtsgerichte umfasst sind. Insoweit ist das mit der Klage verfolgte wirtschaftliche Interesse zu ermitteln, wobei den Wertangaben der Parteien, insbesondere des Klägers (§§ 253 Abs. 3, 495 ZPO), wenn sie nicht offensichtlich unzutreffend sind, erhebliches Gewicht zukommt, diese aber für das Gericht nicht bindend sind (vgl. Wendtland in BeckOK ZPO, 59. Ed. Stand: 1.12.2025, § 3 Rn. 1).

Der Kläger bezifferte die begehrte Schadensersatzhöhe in der Klageschrift vom 25. Dezember 2025 mit 1.000 EUR, in späteren Schriftsätzen mit mindestens 20.000 EUR. Die ausgeurteilten Schadensersatzansprüche aus Art. 82 DS-GVO bewegen sich bislang im unteren bis mittleren vier- oder dreistelligen Bereich (vgl. Quaas in BeckOK Datenschutzrecht, 54. Ed. Stand: 1.11.2025, DS-GVO Art. 82 Rn. 34 f.). Angesichts dessen erscheint die Angabe von 20.000 EUR offensichtlich unzutreffend, zumal Anhaltspunkte für eine Atypik des Falls des Klägers, die eine derart gravierend von der bisherigen Rechtsprechung abweichende Schadensersatzhöhe rechtfertigen könnten, weder vorgetragen noch erkennbar sind. Das objektive wirtschaftliche Interesse des Klagebegehrens liegt nach Auffassung des Gerichts jedenfalls unter 10.000 EUR, sodass die sachliche Zuständigkeit der Amtsgerichte eröffnet ist.

Örtlich zuständig ist vorliegend im Hinblick auf den Sitz des Bundesamts für Migration und Flüchtlinge in Nürnberg das Amtsgericht Nürnberg nach §§ 12, 17 Abs. 1 ZPO i.V.m. Art. 5 Abs. 2 Nr. 53 GerOrgG.

Die Entscheidung über die Kosten bleibt gemäß § 173 Satz 1 VwGO i.V.m. § 17b Abs. 2 Satz 1 GVG der Endentscheidung des Amtsgerichts Nürnberg vorbehalten.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf: Transportverschlüsselung reicht zur Absicherung beim Versand von E-Mails nach Art. 32 DSGVO aus - Keine Ende-zu-Ende-Verschlüsselung erforderlich

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Mon, 20 Apr 2026 09:29:00 +0200

VG Düsseldorf
Urteil vom 02.04.2026
29 K 7351/23

Das Verwaltungsgericht Düsseldorf hat entschieden, dass die Versendung von E-Mails unter Verwendung einer Transportverschlüsselung (z. B. TLS) keinen Verstoß gegen die DSGVO darstellt. Eine Ende-zu-Ende-Verschlüsselung ist zur Einhaltung der Anforderungen an die Sicherheit der Verarbeitung nach Art. 32 DSGVO für die Kommunikation von nicht sensiblen Daten nicht zwingend erforderlich.

Aus den Entscheidungsgründen:
Die Einzelrichterin ist für die Entscheidung zuständig, nachdem ihr der Rechtsstreit durch Beschluss der Kammer vom 23. Februar 2026 gemäß § 6 Abs. 1 Satz 1 Verwaltungsgerichtsordnung (VwGO) zur Entscheidung übertragen worden ist.

Das Gericht kann gemäß § 101 Abs. 2 VwGO ohne mündliche Verhandlung entscheiden, weil die Beteiligten hierzu ihr Einverständnis erklärt haben.

Die insgesamt zulässige Klage hat nur in dem aus dem Tenor ersichtlichen Umfang Erfolg. Hinsichtlich der Klageanträge zu 1. und 2. ist die Klage unbegründet. Soweit der Kläger mit dem Hilfsklageantrag zu 3. bezüglich der Nichtmeldung des Datenschutzverstoßes und bezüglich des Datenschutzverstoßes selbst die Verpflichtung zur Neubescheidung über seine Beschwerde begehrt, ist die Klage ebenfalls unbegründet. Im Übrigen ist sie mit ihrem Hilfsklageantrag zu 3. begründet. Der Kläger hat einen Anspruch auf Neubescheidung seiner Beschwerde, soweit sie die verspätete Datenschutzauskunft durch die Beschwerdegegnerin zum Gegenstand hat (§ 113 Abs. 5 Satz 2 VwGO).

Die Klage ist zulässig, insbesondere als Verpflichtungsklage gemäß § 42 Abs. 1 Alt. 2 VwGO statthaft.

Die von dem Kläger begehrte andere Entscheidung über seine Beschwerde stellt - ebenso wie das Schreiben der Beklagten vom 16. November 2022 - einen Verwaltungsakt im Sinne von § 35 Satz 1 des Verwaltungsverfahrensgesetzes (VwVfG) dar. Insbesondere zielt es auf die Herbeiführung unmittelbarer Rechtswirkungen ab. Aus der Begründung ergibt sich, dass die Beklagte das Schreiben als Aufsichtsbehörde im Rahmen ihrer Befugnisse nach Art. 58 DSGVO erstellt hat. Dabei ist unschädlich, dass dieses weder als „Bescheid“ noch als „Verfügung“ oder in ähnlicher Weise bezeichnet wird. Denn inhaltlich stellt es eine auf unmittelbare Rechtswirkung nach außen gerichtete Entscheidung der Beklagten über den weiteren Fortgang - nämlich die Beendigung - des Beschwerdeverfahrens dar.

Vgl. zur Einordnung der abschließenden Beschwerdeentscheidung der Aufsichtsbehörde als Verwaltungsakt: VG Düsseldorf, Urteil vom 20. November 2025 - 29 K 3939/23 -, juris Rn 20 m.w.N.; VG Mainz, Urteil vom 16. Januar 2020 - 1 K 129/19.MZ -, juris Rn. 26 f. Vgl. auch zur Rechtsverbindlichkeit der Beschlüsse einer Aufsichtsbehörde: EuGH, Urteil vom 07.12.2023 - C-26/22 -, juris Rn. 50.

Die Klage ist rechtzeitig innerhalb der gemäß § 58 Abs. 2 VwGO geltenden Jahresfrist erhoben worden. Der Bescheid vom 16. November 2022 enthält keine Rechtsbehelfsbelehrung.

Der Kläger ist klagebefugt im Sinne von § 42 Abs. 2 VwGO, weil es nach seinem Vorbringen jedenfalls möglich ist, dass er durch die Einstellung des Beschwerdeverfahrens in eigenen subjektiv-öffentlichen Rechten nach Art. 57 Abs. 1 Buchst. f, 77 Abs. 1 DSGVO verletzt ist.

Vgl. VG Hamburg, Urteil vom 1. Juni 2021 - 17 K 2977/19 -, Rn. 41 ff.; VG Ansbach, Urteil vom 7. Dezember 2020 - An 14 K 18.02503 -, juris Rn. 25; OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 - 10 A 10613/20 -, juris Rn. 29.

Die Klage ist mit ihren Klageanträgen zu 1. und 2. aber unbegründet. Der Bescheid vom 16. November 2022 ist insoweit rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Der Kläger hat gegenüber der Beklagten keinen Anspruch auf das Ergreifen der begehrten Aufsichtsmaßnahmen (§ 113 Abs. 5 Satz 1 VwGO).

Rechtsgrundlage für die streitgegenständliche Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen Vorschriften über den Datenschutz verstößt. Als Datenschutzaufsichtsbehörde muss sich die Beklagte im Rahmen ihrer Zuständigkeit mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten (Art. 57 Abs. 1 Buchst. f DSGVO).

Bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO handelt es sich um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt.

Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Die Aufsichtsbehörde ist nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, eine Beschwerde mit aller gebotenen Sorgfalt zu bearbeiten. Hierzu verleiht ihr Art. 58 Abs. 1 DSGVO weitreichende Untersuchungsbefugnisse.

Vgl. EuGH, Urteil vom 16. Juli 2020 - C-311/18 -, juris Rn.109, 111.

Über den Einsatz der sich aus Art. 58 Abs. 1 DSGVO ergebenden Untersuchungsbefugnisse sowie den Umfang der Untersuchung entscheidet die Aufsichtsbehörde nach pflichtgemäßem Ermessen entsprechend der Sachlage im Einzelfall.

Vgl. Matzke, in: BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.02.2026, DSGVO Art. 57 Rz 17.

Stellt die Aufsichtsbehörde sodann am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, wobei alle Maßnahmen insbesondere im Hinblick auf die Gewährleistung der Einhaltung der Verordnung geeignet, erforderlich und verhältnismäßig sein sollten und die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt.

Vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22 -, juris Rn. 47 ff.

Hiervon ausgehend richtet sich die gerichtliche Prüfung der Beschwerdeentscheidung nach § 114 Abs. 1 VwGO.
Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.

Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.

Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, das Beschwerdeverfahren einzustellen, nicht erkennbar.

Dies ergibt sich für den mit dem Klageantrag zu 1. geltend gemachten Sachverhalt bereits daraus, dass ein Datenschutzverstoß nicht vorliegt. Die Datenverarbeitung durch die verarbeitende Beschwerdegegnerin war rechtmäßig. Eine Ende-zu-Ende-Verschlüsselung bei elektronischer Kommunikation mit dem Kläger war weder allgemein noch in der Unfallsache geboten.

Die Datenverarbeitung der personenbezogenen Daten des Klägers durch die Verantwortliche in Form der Offenlegung durch die Anzeige des Verkehrsunfalls mit E-Mail vom 21. Januar 2022 sowie in Form der Übermittlung des an sie gerichteten Schreibens der Prozessbevollmächtigten des Klägers vom 2. März 2022 an die KFZ-Haftpflichtversicherung bzw. den für diese tätigen Versicherungsvertreter war gemäß Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO zulässig. Nach dieser Bestimmung ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen der Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ein berechtigtes Interesse der Verantwortlichen liegt vor. Als Versicherungsnehmerin durfte das verantwortliche Busunternehmen den Namen des Klägers als Unfallgeschädigtem zum Zwecke der Schadensabwicklung des Verkehrsunfalls ihrer Versicherung melden. Soweit im E-Mail-Verteiler neben der „SVG-Kravag“ auch „SVG“ aufgeführt wird, handelt es sich angesichts des identischen Namens „Claus Vennemann“ ersichtlich um ein- und denselben Adressaten. Herr Vennemann scheint der bei der KRAVAG zuständige Versicherungsvertreter für die Beschwerdegegnerin zu sein.

Die Übermittlung der personenbezogenen Daten des Klägers per E-Mail war auch hinsichtlich der Sicherheit der Datenverarbeitung datenschutzkonform und verstößt nicht gegen Art. 5 Abs. 1 Buchst. f DSGVO. Nach diesem Grundsatz müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Dieser Grundsatz wird in Art. 32 DSGVO konkretisiert. Diese Vorschrift sieht vor, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem risikoangemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 1. HS DSGVO). Diese Maßnahmen schließen gegebenenfalls unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein (Art. 32 Abs. 1 2. HS Buchst. a DSGVO).

Als Maßnahme zur Gewährleistung der Datensicherheit hat die Beschwerdegegnerin eine solche Verschlüsselung vorgenommen. Mangels gegenteiliger Anhaltspunkte durfte die Beklagte bei ihrer Prüfung davon auszugehen, dass die bei der Kommunikation zwischen der Beschwerdegegnerin und ihrer Versicherung beteiligten E-Mail-Anbieter eine Transportverschlüsselung einsetzen und dadurch die personenbezogenen Daten des Klägers in Form seines Namens und Vornamens während des Versands verschlüsselt worden sind.

Nachrichten, die per E-Mail versendet werden, unterliegen einer Transportverschlüsselung. Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt. Dies wird von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. Allerdings werden E-Mails beim Versand über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.

Vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt.

Diese Technik gewährleistete im vorliegenden Fall gleichwohl ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 Abs. 1 1. HS DSGVO.

Bei der Beurteilung des angemessenen Schutzniveaus sind gemäß Art. 32 Abs. 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Das Risiko bestimmt sich nach der möglichen Schwere des Schadens und nach der Wahrscheinlichkeit, mit der der Schaden eintritt.

Vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, 4. Auflage 2026, Art. 32 DSGVO, Rn. 50.
Anders als bei einer Ende-zu-Ende-Verschlüsselung, bei der nicht die einzelnen Abschnitte des Versandkanals verschlüsselt werden, sondern die E-Mails selbst, so dass weder die beteiligten E-Mail-Anbieter die E-Mail lesen können, noch potentielle Angreifer die Möglichkeit haben, die E-Mails unterwegs zu lesen oder zu manipulieren,

vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt,

Bei einer Transportverschlüsselung ein unbefugter Zugang zu personenbezogenen Daten nicht vollständig ausgeschlossen werden. Das birgt für den Kläger aber kein erhöhtes Risiko. Im Raum stand, dass ein unbefugter Dritter Kenntnis von dem in beiden E-Mails enthaltenen Namen des Klägers erlangt. Diese Daten sind nicht sensibel und bedürfen keines besonderen Schutzes. Die im Melderegister für ihn angeordnete Auskunftssperre ändert daran nichts. Der Name des Klägers ist nicht geheim, sondern im Internet frei zugänglich. Dasselbe gilt für seine Firma. Der Kläger verwendet kein Pseudonym. Sein Name wird daher nicht erst bei unbefugtem Zugang Dritter zu den E-Mails bekannt. Auch die Wahrscheinlichkeit, dass ein Dritter dadurch weitere Informationen über den Kläger erlangt, ist äußerst gering. Ein Bezug zur privaten Anschrift des Klägers kann nicht hergestellt werden. Denn die für den Kläger eingetragene Auskunftssperre nach § 51 BMG bewirkt, dass Dritte keinen Zugang zu den Meldedaten erhalten. Es ist auch nicht ersichtlich, wie ein Unbefugter über die Kanzlei der Prozessbevollmächtigten des Klägers nähere Informationen über den Kläger herausfinden könnte. Diese sind hinreichend sensibilisiert. Vielmehr kann der mögliche Aufenthaltsort des Klägers bereits jetzt mit seinem Namen in Verbindung mit seiner Firma und deren Sitz im Internet auf einfache Weise ermittelt werden. Die vom Kläger angenommene Gefahr, Dritte könnten ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen, hat sich durch die Nennung seines Namens in den beiden streitgegenständlichen E-Mails nicht erhöht.

Da die Datenverarbeitung durch das Busunternehmen kein hohes Risiko für die Rechte und Freiheiten des Klägers zur Folge hat, bedurfte es auch keiner Datenschutz-Folgenabschätzung im Sinne von Art. 35 DSGVO.

Kann ein Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung nicht festgestellt werden, ist die Beklagte nicht gehalten, mit dem Ziel der Abstellung des Verstoßes die mit dem Klageantrag zu 1. begehrten Maßnahmen nach Art. 58 Abs. 2 DSGVO Maßnahmen zu ergreifen.

Der Klageantrag zu 2., mit dem der Kläger die Verpflichtung der Beklagten begehrt, gegenüber dem Verarbeiter eine angemessene Geldbuße zu verhängen für die Verspätung der Auskunft, die Nichtmeldung des Datenschutzverstoßes und der Datenschutzverstoß selbst, ist ebenfalls unbegründet. Der Kläger hat keinen Anspruch auf die Verhängung einer Geldbuße gemäß Art. 58 Abs. 2 Buchst. i DSGVO gegenüber der Beschwerdegegnerin. Dies ergibt sich hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst bereits daraus, dass nach den obigen Ausführungen kein Datenschutzverstoß vorliegt, und infolgedessen keine Meldung nach Art. 33 DSGVO an die Beklagte erfolgen musste. Aus diesem Grund bleibt auch dem Hilfsantrag zu 3., soweit er auf die Neubescheidung des Klägers hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst zielt, der Erfolg versagt.

In Bezug auf die Verspätung der Auskunft nach Art. 15 DSGVO liegt zwar ein Datenschutzverstoß vor. Der auf die Verhängung eines Bußgelds gerichtete Klageantrag zu 2. ist gleichwohl unbegründet.

Die Beklagte hat nicht in angemessenem Umfang überprüft, ob hinsichtlich der verspäteten Auskunftserteilung ein Verstoß gegen die Datenschutzgrundverordnung gegeben ist. Dass die gewünschte E-Mail-Auskunft zum Zeitpunkt der Entscheidung der Beklagten vorlag, ist für die Frage der fristgerechten Erfüllung des Antrags des Klägers auf Auskunft über seine personenbezogenen Daten ohne Belang. Soweit sich die Beklagte in ihrem Bescheid vom 16. November 2022 auf die Einlassung der Verantwortlichen stützt, es sei keine Identifikation für ein Auskunftsbegehren möglich gewesen, schließt dies einen Verstoß gegen Art. 12 Abs. 3 Satz 1 DSGVO nicht aus.

Der Antrag des Klägers auf Auskunft über seine personenbezogenen Daten gemäß Art. 15 Abs. 1 DSGVO an die Beschwerdegegnerin datiert vom 12. April 2022. Auskunft erteilt wurde mit der anwaltlichen Stellungnahme der Beschwerdegegnerin vom 26. Oktober 2022. Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Die einmonatige Frist hat die Beschwerdegegnerin nicht eingehalten. Sie hat den Kläger auch nicht über eine Fristverlängerung oder die Gründe für die Verzögerung unterrichtet (Art. 12 Abs. 3 Satz 3 DSGVO). Anders als die Verantwortliche geltend macht, war der Kläger auch identifizierbar. Der Antrag vom 12. April 2022 wurde weder anonym noch unter einem Pseudonym gestellt. Zwar wird nur der Name des Klägers ohne Privatanschrift angegeben. Das Schreiben wurde jedoch von den Prozessbevollmächtigten des Klägers übersendet, die sich bereits Schreiben vom 2. März 2022 an die Beschwerdegegnerin gewendet und darin neben dem Namen des Klägers auch den zugrunde liegenden Sachverhalt (Verkehrsunfall in F. am 20. Januar 2022) benannt haben. Damit war der Verantwortlichen eine Zuordnung des Klägers ohne weiteres möglich.

Der auf Verhängung einer Geldbuße gerichtete Klageantrag zu 2. hat dennoch keinen Erfolg. Ein gerichtlich im Wege der Verpflichtungsklage durchsetzbarer Anspruch gegen die Beklagte auf Ergreifen der Maßnahme nach Art. 58 Abs. 2 Buchst. i DSGVO besteht in Anbetracht des der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO zustehenden Auswahlermessens nur, wenn das Ermessen der Beklagten auf null reduziert ist. Dies ist vorliegend nicht der Fall, zumal von drei behaupteten Datenschutzverstößen nur einer gegeben ist, der zudem angesichts der später erteilten Auskunft nicht schwer wiegt.

Der Kläger hat aber, soweit er sich über die verspätete Auskunft beschwert hat, gegenüber der Beklagten einen Anspruch auf ermessensfehlerfreie Entscheidung über das Ergreifen von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO unter Beachtung der Rechtsauffassung des Gerichts (§ 113 Abs. 5 Satz 2 VwGO) mit der Folge, dass der Hilfsantrag zu 3. insoweit Erfolg hat. Die Beklagte konnte ihre Ermessenserwägungen dazu im gerichtlichen Verfahren nicht wirksam nachholen, weil sie die nicht fristgerechte Erteilung der begehrten Datenschutzauskunft im Bescheid nicht als Verstoß erkannt und deshalb ihr Auswahlermessen nicht ausgeübt hat.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Datenschutzbehörde ist selbst Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO im Rahmen von Beschwerdeverfahren nach Art. 77 DSGVO und muss nach Art. 15 DSGVO Auskunft erteilen

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Sat, 18 Apr 2026 12:07:00 +0200

EuGH-Generalanwalt
Schlussanträge vom 16.04.2026
C‑205/25
J.L. gegen Bayerisches Landesamt für Datenschutzaufsicht

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Datenschutzbehörde Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist, wenn sie im Rahmen eines Beschwerdeverfahrens gemäß Art. 77 DSGVO tätig wird. Der Betroffene hat somit einen Auskunftsanspruch aus Art. 15 DSGVO. Nationale Rechtsvorschriften, wie etwa Art. 20 Abs. 2 des Bayerischen Datenschutzgesetzes (BayDSG), die diesen Auskunftsanspruch gegenüber der Datenschutzbehörde ausschließen, widersprechen Art. 23 DSGVO.

Ergebnis der Schlussanträge:
1. Art. 15 in Verbindung mit Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) st dahin auszulegen, dass eine Aufsichtsbehörde im Sinne von Art. 4 Nr. 21 dieser Verordnung, wenn sie im Rahmen eines Beschwerdeverfahrens gemäß deren Art. 77 tätig wird, auch die Eigenschaft eines „Verantwortlichen“ im Sinne der genannten Verordnung aufweist und somit verpflichtet ist, der betroffenen Person das in Art. 15 der Verordnung vorgesehene Auskunftsrecht zu garantieren.

2. Art. 23 der Verordnung 2016/679 ist dahin auszulegen, dass er einer nationalen Vorschrift wie der in Art. 20 Abs. 2 des Bayerischen Datenschutzgesetzes vorgesehenen entgegensteht, die das Bestehen eines auf Art. 15 dieser Verordnung gestützten Auskunftsrechts gegenüber der bayerischen Datenschutzbehörde als solches ausschließt.

Die vollständigen Schlussanträge finden Sie hier:

LG Köln: DSGVO steht Auskunftsanspruch eines Personalvermittlers über das Gehalt des vermittelten Arbeitnehmers nicht entgegen

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 15 Apr 2026 18:24:00 +0200

LG Köln
Teilurteil vom 13.11.2025
30 O 146/25

Das LG Köln hat entschieden, dass ein Arbeitgeber datenschutzrechtlich verpflichtet sein kann, einem Personalvermittler Auskunft über die Gehaltsbestandteile eines vermittelten Arbeitnehmers zu erteilen. Dies gilt selbst dann, wenn der Arbeitnehmer der Datenweitergabe ausdrücklich widersprochen hat. Das Gericht führt aus, dass das berechtigte Interesse des Vermittlers an der Berechnung seines Honorars das allgemeine Geheimhaltungsinteresse des Arbeitnehmers überwiegt.

Aus den Entscheidungsgründen:
I. Die Stufenklage ist zulässig.

Der geltend gemachte Anspruch auf Auskunft über sämtliche Gehaltsbestandteile des Zeugen H. ist zulässiger Gegenstand der ersten Stufe einer Stufenklage nach § 254 ZPO.

Bei einer Stufenklage wird ein der Höhe oder dem Gegenstand nach noch unbekannter und deshalb nicht iSv § 253 II Nr. 2 ZPO bestimmbarer Leistungsanspruch mit den zu seiner Konkretisierung erforderlichen Hilfsansprüchen (auf Auskunft und gegebenenfalls Richtigkeitsversicherung) verbunden. Die Stufenklage ist nicht auf die in § 254 ZPO genannten Gegenstände beschränkt. Sie kann auch dann erhoben werden, wenn eine andere Form der geordneten Auskunft über Tatsachen begehrt wird, die für den Kläger einen gesetzlichen oder vertraglichen Anspruch begründen (NZA 2022, 261 Rn. 24, 25, beck-online).

Die hiesige Klägerin begründet ihren Auskunftsanspruch zulässigerweise damit, dass sich die mit der Beklagten vereinbarte Höhe ihres Honorars für die Vermittlung des Zeugen H. gem. § 3 des zwischen den Parteien geschlossenen Vertrages nach einem Prozentsatz des Bruttojahreseinkommens des Zeugen H. bestimmt. Zur Berechnung ihres Anspruchs ist die Klägerin daher auf die begehrte Auskunft angewiesen, über die sie derzeit noch nicht verfügt.

Der Antrag ist auch hinreichend bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO, da für die Beklagte ohne Weiteres erkennbar ist, über welche Gehaltsbestandteile sie die begehrte Auskunft erteilen soll.

II. Die Stufenklage ist auf der ersten Stufe begründet.

Die Klägerin hat gegen die Beklagte einen Anspruch auf Erteilung der beantragten Auskunft über das Bruttojahreseinkommen des Zeugen H. einschließlich aller Gehaltsbestandteile aus § 3 i.V.m. § 6 des zwischen den Parteien geschlossenen Vertrages vom 05./08.05.0000 i.V.m. § 242 BGB.

Dass der Vertrag wirksam geschlossen wurde und die Klägerin die Vermittlungstätigkeit erbracht hat, die den Honoraranspruch auslöst, ist zwischen den Parteien unstreitig.

An der Wirksamkeit der in § 6 des Vertrages vereinbarten Auskunftspflicht der Beklagten bestehen ebenfalls keine Zweifel. Eine derartige Vereinbarung ist nicht deshalb gem. §§ 134 bzw. 138 BGB gesetzes- oder sittenwidrig, weil die Beklagte sich als Arbeitgeberin verpflichtet, Gehaltsdaten ihres Arbeitnehmers der Klägerin zu offenbaren. Wie der Fall der Vermittlung einer anderen Arbeitnehmerin an die Beklagte zeigt, haben Arbeitnehmer häufig keine Bedenken gegen die entsprechende Weitergabe ihrer Daten an die Klägerin als Personalvermittlerin. Auch der BGH geht davon aus, dass eine Honorarabrede, die sich am Bruttojahresgehalt des vermittelten Arbeitnehmers orientiert, in der Arbeitsvermittlungsbranche branchenüblich ist. So hat er im Fall eines im Wege der Arbeitnehmerüberlassung vermittelten Mitarbeiters in ein festes Arbeitsverhältnis hinsichtlich des Anspruchs auf Vermittlungshonorar Folgendes ausgeführt: „Für eine Anknüpfung des Vermittlungsentgelts an die Verleihgebühr spricht auch nicht, dass diese den Vertragsparteien geläufig ist, während der Verleiher den Arbeitsvertrag zwischen dem Entleiher und dem (früheren) Leiharbeitnehmer naturgemäß nicht kennt, er mithin auf eine Information des (vormaligen) Entleihers angewiesen ist. Etwaigen damit verbundenen Schwierigkeiten ließe sich jedenfalls durch eine vertraglich vereinbarte Pflicht des Entleihers oder des Arbeitnehmers zur Offenbarung begegnen“ (BGH Urt. v. 10.3.2022 – III ZR 51/21, BeckRS 2022, 8082 Rn. 25, beck-online). Er erachtet somit das Bruttoeinkommen des Arbeitnehmers als adäquate Bemessungsgröße für die Vergütung des Vermittlers. Es ist nicht ersichtlich, warum außerhalb des Bereichs der Arbeitnehmerüberlassung für die Vermittlung von Arbeitnehmern durch Arbeitsvermittler bzw. Headhunter etwas Anderes gelten sollte. Im Hinblick auf den Datenschutz haben Leiharbeitnehmer dieselben Rechte wie jeder andere Arbeitnehmer auch.

Die Erteilung der Auskunft ist der Beklagten auch nicht gem. § 275 Abs. 1 BGB rechtlich unmöglich. Rechtliche Unmöglichkeit liegt vor, wenn der geschuldete Erfolg aus Rechtsgründen nicht herbeigeführt werden kann oder nicht herbeigeführt werden darf.

Eine rechtliche Unmöglichkeit der Auskunftserteilung ergibt sich bei einem Widerspruch des Arbeitnehmers gegen die Datenweitergabe nicht ohne Weiteres aus § 26 BDSG, der die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. Im Zusammenspiel zwischen dem BDSG und der DS-GVO sind auch die in letzterer geregelten Erlaubnistatbestände zu beachten.

Als Erlaubnistatbestände kommen – neben der Einwilligung und der Betriebsvereinbarung – vor allem Art. 6 Abs. 1 lit. b, zur Aufdeckung einer Straftat § 26 Abs. 1 S. 2 sowie, für Zwecke außerhalb des Beschäftigungsverhältnisses, Art. 6 Abs. 1 lit. b, f DS-GVO in Betracht (BeckOK DatenschutzR/Riesenhuber, 53. Ed. 1.8.2025, BDSG § 26 Rn. 179, beck-online).

Die Erlaubnis der Beklagten zur Erteilung der Auskunft trotz der Untersagung durch den Zeugen H. ergibt sich aus Art. 6 Abs. 1 S. 1 lit f DS-GVO. Nach dieser Vorschrift ist die Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Art. 21 DS-GVO sieht ebenfalls vor, dass bei einem Widerspruch der betroffenen Person gegen die Datenverarbeitung eine weitere Verarbeitung zu unterlassen ist, es sei denn, es liegen zwingende schutzwürdige Gründe für die Verarbeitung vor, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Die insoweit vorzunehmende Abwägung führt hier zu dem Ergebnis, dass die Interessen der Klägerin an dem Erhalt der Gehaltsdaten die Interessen des Zeugen H. an deren Geheimhaltung gegenüber der Klägerin überwiegen.

Die Datenverarbeitung in Form der Weitergabe der Daten an die Klägerin dient hier der Klägerin als Drittem zur Wahrung ihrer berechtigten Interessen und zur Geltendmachung von Ansprüchen. Denn die Klägerin hat gegen die Beklagte grundsätzlich einen Anspruch auf Honorar und kann dessen Höhe nur anhand der Gehaltsdaten des Zeugen berechnen. Die Geltendmachung und Beitreibung von Forderungen ist ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 S. 1 lit.f DS-GVO.

Da der Klägerin die Gehaltsdaten zur Berechnung ihres Honorars nicht vorliegen, ist die Weitergabe der Daten an sie auch erforderlich. Sofern die Beklagte ausführt, dass die Klägerin auch ein anderes Honorarmodell hätte wählen können, lässt dies die Erforderlichkeit der Datenübermittlung nicht entfallen, da der Vertrag mit eben diesem, auf die Gehaltshöhe bezogenen Honorarmodell geschlossen wurde und die Klägerin sich nicht auf eine Neuverhandlung des bereits abgeschlossenen Vertrags einlassen muss, die für sie einem Teilverzicht auf ihren Anspruch gleichkäme. Hinzu kommt, dass – wie bereits ausgeführt – ein nach dem Gehalt des vermittelten Arbeitnehmers berechnetes Honorar in der Rechtsprechung anerkannt und zudem branchenüblich ist.

Im Rahmen der Interessenabwägung spielen u.a. der mit der Datenverarbeitung verfolgte Zweck und die dahinter stehenden Interessen, Art, Inhalt und Aussagekraft der Daten sowie die Folgen derer Verarbeitung und (potenziellen) Verwendung und die davon betroffenen oder sonst involvierten Interessen eine Rolle. Mit Blick auf die Kriterien für die Abwägung lassen sich der DS-GVO sodann verschiedene Anhaltspunkte entnehmen. Zu berücksichtigen sind demnach insbesondere die vernünftige Erwartungshaltung der betroffenen Person (reasonable expectations) bzw. die Absehbarkeit (Branchenüblichkeit) der Verarbeitung (BeckOK DatenschutzR/Albers/Veit, 53. Ed. 1.8.2025, DS-GVO Art. 6 Rn. 72, beck-online).

Der Zeuge H. hat im Rahmen seiner Vernehmung angegeben, dass er die Weitergabe seiner Gehaltsdaten aus grundsätzlichen Erwägungen nicht wünscht. Ein daneben bestehendes spezielles Geheimhaltungsinteresse wie beispielsweise die Sorge vor behördlichen Maßnahmen oder vor Streitigkeiten mit Arbeitskollegen hat er verneint. Er hat vielmehr angegeben, dass er generell nicht wolle, dass jemand sein Gehalt kenne und dass er dies auch beispielsweise seinen Geschwistern nicht nennen würde, sondern allenfalls seinem engsten Freund. Konkrete Befürchtungen, dass sein Gehalt veröffentlicht werden könnte, hat er ebenfalls verneint.

Dieses allgemeine Geheimhaltungsinteresse des Zeugen H. muss im Rahmen der Abwägung nach Ansicht der Kammer vorliegend gegenüber dem Interesse der Klägerin am Erhalt der Gehaltsdaten zurückstehen.

Dabei ist zu berücksichtigen, dass der Zeuge H. der Klägerin seine konkreten Gehaltsvorstellungen bereits von sich aus mitgeteilt hatte. Dass er ein Gehalt von 110.000 € anstrebte, hatte er der Klägerin ebenso mitgeteilt wie seinen Wunsch nach einem Dienstwagen. Hinzu kommt, dass – auch wenn der Zeuge die konkrete Vereinbarung zwischen der Klägerin und der Beklagten möglicherweise nicht kannte – ihm aufgrund der Branchenüblichkeit der Bemessung eines Vermittlerhonorars nach dem Gehalt des vermittelten Arbeitnehmers bewusst sein musste, dass die Klägerin die konkreten Gehaltsdaten erfragen und benötigen würde. Auch in anderen Bereichen der Vermittlung wie z.B. bei Immobilien, Fahrzeugen, Krediten o.ä. ist eine prozentual an dem vermittelten Gegenstand bemessene Vergütung üblich.

Hinzu kommt, dass die Klägerin auch nicht die derzeit aktuellen Gehaltsdaten benötigt, sondern nur die aus dem ersten Jahr der Beschäftigung, das bereits abgelaufen ist, also nur Daten, die die Vergangenheit betreffen.

Des Weiteren ist die Klägerin vertraglich ebenfalls zur Verschwiegenheit verpflichtet, wie sich aus § 2 des Vermittlungsvertrags sowie aus § 1.4 der AGB der Klägerin ergibt. Diese Verschwiegenheitspflicht geht auch ausdrücklich über die Beendigung des Vermittlungsvertragsverhältnisses hinaus. Eine weitere Verbreitung oder gar deren öffentliche Bekanntgabe ist damit äußerst unwahrscheinlich. Dementsprechend hat der Zeuge H. nach eigenem Bekunden auch keine konkrete Befürchtung in dieser Richtung, sondern allenfalls ein allgemeines Unbehagen derart, dass man ja nie wisse, was mit den eigenen Daten passiere. Eine Veröffentlichung der der Klägerin bereits vorliegenden Daten des zeugen wie z.B. dessen Gehaltsvorstellungen ist auch nicht erfolgt, so dass es auch keine Anhaltspunkte für in der Zukunft liegende Datenverstöße der Klägerin gibt.

Im Übrigen kann dem Datenschutzinteresse des Zeugen auch dadurch Rechnung getragen werden, dass die Klägerin dessen Gehaltsdaten unmittelbar nach Berechnung und gerichtlicher Geltendmachung ihres Honoraranspruchs löscht.

Aus den vorgenannten Gründen kommt auch ein Leistungsverweigerungsrecht gem. § 275 Abs. 2 BGB nicht in Betracht.

Ein Leistungsverweigerungsrecht der Beklagten gem. § 275 Abs. 3 BGB besteht schon deshalb nicht, weil es sich bei der Auskunftserteilung nicht um eine persönlich zu erbringende Leistung handelt.

Weitere Gründe, die der Erteilung der Auskunft entgegenstehen könnten, vermag die Kammer nicht zu erkennen.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf: Für Klagen auf Schadensersatz aus Art. 82 DSGVO gegen öffentliche Stellen sind nicht die Verwaltungsgerichte sondern die Zivilgerichte zuständig

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 14 Apr 2026 12:37:00 +0200

VG Düsseldorf
Beschluss vom 23.03.2026
29 K 2876/26

Das VG Düsseldorf hat mit Beschluss vom 23.03.2026 entschieden, dass für Klagen auf immateriellen Schadensersatz asu Art. 82 DSGVO gegen öffentliche Stellen nicht der Verwaltungsrechtsweg, sondern der ordentliche Rechtsweg eröffnet ist. Das Gericht führt aus, dass die Bestimmungen der DSGVO lediglich die internationale Zuständigkeit der Mitgliedstaaten regeln und der innerstaatlichen Zuweisung des Schadensersatzanspruchs an die Zivilgerichte gemäß § 40 Abs. 2 Satz 1 VwGO nicht entgegenstehen.

Aus den Entscheidungsgründen:
Die Verweisung erfolgt auf der Grundlage der §§ 173 Verwaltungsgerichtsordnung (VwGO), 17a Abs. 2 Satz 1 Gerichtsverfassungsgesetz (GVG).

Der Kläger macht gegen den Beklagten, eine Anstalt des öffentlichen Rechts, einen Anspruch auf immateriellen Schadensersatz auf Grundlage von Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO) geltend. Hierfür ist nicht der Verwaltungsrechtsweg, sondern der ordentliche Rechtsweg eröffnet.

Gemäß § 40 Abs. 1 Satz 1 VwGO ist der Verwaltungsrechtsweg in allen öffentlich-rechtlichen Streitigkeiten nichtverfassungsrechtlicher Art gegeben, soweit die Streitigkeiten nicht durch Bundesgesetz einem anderen Gericht ausdrücklich gewesen sind. Für Schadensersatzansprüche aus der Verletzung öffentlich-rechtlicher Pflichten, die nicht auf einem öffentlich-rechtlichen Vertrag beruhen, ist dagegen nach § 40 Abs. 2 Satz 1 VwGO der ordentliche Rechtsweg gegeben. Um einen solchen Schadensersatzanspruch handelt sich vorliegend.

Eine davon abweichende Zuständigkeit der Verwaltungsgerichte folgt nicht aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 DSGVO.

Nach Art. 82 Abs. 6 DSGVO sind mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadensersatz die Gerichte zu befassen, die nach den in Art. 79 Abs. 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. Art. 79 Abs. 2 DSGVO bestimmt, dass für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter die Gerichte des Mitgliedstaats zuständig sind, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat (Art. 79 Abs. 2 Satz 1 DSGVO). Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, indem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung der hoheitlichen Befugnisse tätig geworden ist (Art. 79 Abs. 2 Satz 2 DSGVO).

Art. 82 Abs. 6 DSGVO stellt eine Regelung der internationalen Zuständigkeit und damit des zuständigen Mitgliedstaates dar.

Hess. LSG, Beschluss vom 26. Januar 2022 - L 6 SF 7 / 21 DS -, juris Rn. 35; Quaas, in: BeckOK, Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 54. Edition, Stand: 01.11.2025, Art. 82 Rn. 46 f.

Der Vorschrift ist nicht zu entnehmen, dass abweichend vom nationalen Verwaltungsprozessrecht auch für Schadensersatzklagen die gemäß § 40 Abs. 1 Satz 1 VwGO für Klagen nach Art. 79 Abs. 1 DSGVO zuständigen Verwaltungsgerichte zuständig sein sollen. Art. 82 Abs. 6 DSGVO enthält kein Verbot der (innerstaatlichen) Rechtswegaufspaltung.

So aber Bergt, in: Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024 Art. 82 Rn. 63; Frenzel, in: Paal/Pauly, DS-GVO BDSG, 4. Auflage 2026, Art. 82 DSGVO Rn. 18.

Art. 79 Abs. 2 DSGVO, auf den Art. 82 Abs. 6 DSGVO verweist, regelt die internationale Zuständigkeit der mitgliedstaatlichen Gerichte als solchen. Das ergibt sich daraus, dass Art. 79 Abs. 2 Satz 1 DSGVO auf den Mitgliedstaat einer Niederlassung des Verantwortlichen und Art. 79 Abs. 2 Satz 2 DSGVO auf den Mitgliedstaat des gewöhnlichen Aufenthaltsorts der betroffenen Person abstellt. Eine Aussage über den Ort innerhalb eines Mitgliedstaats, an dem Klage zu erheben ist, enthält Art. 79 Abs. 2 DSGVO nicht.

Vgl. Frenzel, in: Paal/Pauly, DS-GVO BDSG, 4. Auflage 2026, § 44 BDSG Rn. 1.

Um der betroffenen Person auch innerhalb Deutschlands das in Art. 79 Abs. 2 DSGVO vorgesehene Wahlrecht hinsichtlich des Klageortes einzuräumen, bedurfte es der nationalen Regelung in § 44 BDSG, die die Vorschriften zur internationalen Zuständigkeit nahezu gleichlautend auf die innerstaatliche örtliche Zuständigkeit für zivilrechtliche Klagen überträgt.

Erst recht enthält Art. 79 Abs. 2 DSGVO keine Bestimmung der innerstaatlichen sachlichen Zuständigkeit bzw. Rechtswegzuständigkeit. Die Begriffe der „Niederlassung“ bzw. des „gewöhnlichen Aufenthaltsorts“, auf die Art. 79 Abs. 2 DSGVO für die Bestimmung des zuständigen Mitgliedsstaats abstellt, sind allein ortsbezogen und geben keinerlei Hinweis auf eine (innerstaatliche) sachliche Zuständigkeit bzw. Rechtswegzuständigkeit. Die Regelungen zur innerstaatlichen Zuständigkeit verbleiben vielmehr im Verantwortungsbereich der Mitgliedstaaten. Die sachliche und örtliche Zuständigkeit des in Deutschland angerufenen Gerichts bemisst sich deshalb weiterhin nach nationalem Recht.

Vgl. HessVGH, Beschluss vom 1. Dezember 2022 - 10 B 1898/22 -, BeckRS 2022, 39739 Rn. 5 m.w.N.; FG Berlin-Brandenburg, Beschluss vom 27. Oktober 2021 - 16 K 16155/21 -, juris Rn. 20 m.w.N.

Trifft Art. 79 Abs. 2 DSGVO nur eine Aussage über den zuständigen Mitgliedstaat, kann sich auch der Verweis darauf in Art. 82 Abs. 6 DSGVO nur auf die internationale Zuständigkeit der Gerichte beziehen.

Die entgegenstehende Auffassung, die in Art. 82 Abs. 6 DSGVO eine Detailregelung für die Zuständigkeit der innerstaatlichen Gerichte sieht,

vgl. Bergt, in: Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024 Art. 82 Rn. 63,

bzw. eine Überlagerung des mitgliedstaatlichen Prozessrechts durch Art. 82 Abs. 6 DSGVO annimmt,

so: Frenzel, in Paal/Pauly, DS-GVO BDSG, 4. Auflage 2026, Art. 82 DSGVO Rn. 18,

kann sich nicht auf den Wortlaut von Art. 82 Abs. 6 DSGVO stützen. Zwar kann die deutsche Fassung auch dahingehend verstanden werden, dass die Gerichte, die nach den nationalen Rechtsvorschriften für Rechtsbehelfe gegen Verantwortliche oder Auftragsverarbeiter zuständig sind, auch für den Schadensersatzanspruch zuständig sein sollen. Aus der englischen Fassung ergibt sich aber eindeutig, dass sich der Verweis auf Art. 79 Abs. 2 DSGVO auf den nach dieser Vorschrift zuständigen Mitgliedstaat und gerade nicht auf das jeweilige Gericht bezieht. Darin heißt es: „Court proceedings for exercising the right to receive compensation shall be brought before the courts competent under the law of the Member State referred to in Article 79 (2)“.

Ebenso VG Köln, Urteil vom 23. Februar 2023 - 13 K 278/21 -, juris Rn. 23.

Noch deutlicher heißt es in der französischen Fassung „Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l'État membre visé à l'article 79, paragraphe 2.“ Das im Singular maskulin stehende „visé“ kann sich grammatisch nur auf den „État membre“, nicht aber auf die im Plural feminin stehenden „juridictions“ beziehen.

Vgl. Hess. LSG, Beschluss vom 26. Januar 2022 - L 6 SF 7 / 21 DS -, juris Rn. 36; VG Osnabrück, Beschluss vom 12. Dezember 2025 - 7 A 230/25 -, juris Rn. 13.

Etwas anderes ergibt sich nicht daraus, dass sich die internationale Zuständigkeit für Schadensersatzklagen bereits aus Art. 79 Abs. 2 DSGVO ergeben dürfte. Der Vorschrift in Art. 82 Abs. 6 DSGVO verbleibt gleichwohl ein eigener Regelungsgehalt.

a.A.: Bergt, in: Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024 Art. 82 Rn. 63.

Sie bewirkt, dass über Klagen wegen der Datenschutzverstöße auf der einen und auf Schadensersatz auf der anderen Seite nicht Gerichte verschiedener Mitgliedstaaten entscheiden. Damit wird dem mit der Vorschrift verfolgten Ziel einer möglichst einheitlichen Entscheidung über beide Ansprüche genüge getan. Primärer und sekundärer Rechtsschutz wird in ein- und demselben Mitgliedstaat gewährt.

Vgl. Hess. LSG, Beschluss vom 26. Januar 2022 - L 6 SF 7 / 21 DS -, juris Rn. 36.

Zudem ist zweifelhaft, ob der Unionsgesetzgeber für die Regelung der konkreten Rechtswegzuständigkeit innerhalb der Mitgliedstaaten überhaupt eine Kompetenz besitzt. Die Organisation der Gerichtszweige fällt in die alleinige Regelungskompetenz der Mitgliedstaaten. Aus der Kompetenznorm für den Datenschutz in Art. 16 AEUV dürfte keine Annexkompetenz der EU folgen, die Zuständigkeit der Gerichte innerhalb eines Mitgliedstaats zu regeln, soweit die Grundsätze der Äquivalenz und Effektivität gewahrt sind. Ein dem Äquivalenz- und Effektivitätsgebot entsprechender Rechtsschutz lässt sich auch durch die ordentlichen Gerichte sicherstellen. Betroffene können unmittelbar über den Zivilrechtsweg auf Schadensersatz klagen, ohne vor den Verwaltungsgerichten Klage auf Feststellung eines Datenschutzverstoßes erheben zu müssen.

Vgl. Meyer, Rechtsweg und Klagegegner bei Schadensersatzklagen nach Art. 82 DSGVO, ZD 2025, 200 (203), beck-online; VG Osnabrück, Beschluss vom 12. Dezember 2025 - 7 A 230/25 -, juris Rn. 18 f. m.w.N.; Quaas, in: BeckOK, Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 54. Edition, Stand: 01.11.2025, Art. 82 Rn. 46.1.

Art. 82 Abs. 6, Art. 79 Abs. 2 DSGVO bestimmen demnach allein, welcher Mitgliedstaat zuständig ist und mithin welche nationale Rechtsordnung Anwendung findet.

Enthält Art. 82 Abs. 6 DSGVO kein Verbot der Rechtswegaufspaltung, ist eine Vorlage des Rechtsstreits an den Europäischen Gerichtshof nach Art. 267 AEUV entgegen der Auffassung des Klägers nicht veranlasst. Unionsrecht steht der Zuweisung des vom Kläger gegen die Beklagte geltend gemachten datenschutzrechtlichen Auskunftsanspruchs zu den Verwaltungsgerichten einerseits und den Schadensersatzanspruch zu den Zivilgerichten andererseits nicht entgegen.

Die Verweisung an das Amtsgericht W. beruht auf §§ 23 Nr. 1, 71 GVG i.V.m. § 44 Abs. 1 Satz 2 BDSG. Eine Zuständigkeit des Landgerichts nach § 71 Abs. 2 Nr. 2 GVG besteht nicht. Danach sind die Landgerichte ohne Rücksicht auf den Wert des Streitgegenstandes ausschließlich zuständig für die Ansprüche gegen Richter und Beamte wegen Überschreitung ihrer amtlichen Befugnisse oder wegen pflichtwidriger Unterlassung von Amtshandlungen, also für Ansprüche aus § 839 BGB, auch wenn sie sich nach Art. 34 GG gegen den Dienstherrn richten. Der Kläger macht aber einen Schadensersatzanspruch aus § 82 Abs. 1 DSGVO geltend. Dieser stellt keinen Amtshaftungsanspruch dar. Der Anspruch aus Art. 82 Abs. 1 DSGVO ist auch dann, wenn er sich - wie hier - gegen eine Behörde richtet, kein Anspruch aus der Verletzung von Amtspflichten im Sinne des Art. 34 S. 1 GG, da es sich nicht um eine auf die Behörde übergeleitete Haftung des Amtsträgers, sondern um eine originäre Haftung der Behörde handelt.

Vgl. BFH, Beschluss vom 28. Juni 2022 - II B 92 / 21 -, juris Rn. 16; BSG, Beschluss vom 6. März 2023 - B 1 SF 1/22 R - juris, Rn. 19.

Den Volltext der Entscheidung finden Sie hier:

LAG Hessen: Ehemaliger Arbeitnehmer hat keinen Schadensersatzanspruch aus Art. 82 DSGVO nach Hackerangriff auf veraltete Daten bei fehlender Substantiierung des Datenabflusses

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 08 Apr 2026 17:34:00 +0200

LAG Hessen
Urteil vom 10.02.2026
12 SLa 709/25

Das LAG Hessen hat entschieden, dass ein Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO infolge eines Hackerangriffs ausscheidet, wenn der Betroffene den konkreten Datenabfluss nicht schlüssig darlegt und lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung behauptet. Nach Ansicht des Gerichts begründet ein Kontrollverlust nur dann einen entschädigungsfähigen immateriellen Schaden, wenn die Befürchtung eines Datenmissbrauchs unter Anwendung eines objektiven Maßstabs als begründet anzusehen ist.

Aus den Entscheidungsgründen:
1. Ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO setzt nach der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus, wobei diese drei Voraussetzungen kumulativ gegeben sein müssen (vgl. EuGH 4. Oktober 2024 - C-200/23 - [Agentsia po vpisvaniyata] Rn. 140; EuGH 4. Mai 2023 - C-300/21 - [Österreichische Post] Rn. 32; ebenso BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10). Vorliegend fehlt es an allen drei Voraussetzungen.

Hinsichtlich der Darlegungs- und Beweislast gilt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (vgl. EuGH 11. April 2024 - C-741/21 - [juris] Rn. 35; EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 60 f.; BAG 20. Juni 2024 - 8 AZR 124/23 - Rn. 13; BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10).

a. Es fehlt bereits an einem schlüssigen Vortrag des Klägers zu einem Verstoß gegen die Bestimmungen der DSGVO. Zwar sind unstreitig Daten des Klägers kopiert worden und im Darknet ist eine Liste von Dateinamen aufzufinden, die die von den Hackern kopierten Dateien bezeichnen. Es fehlt aber an dem von dem darlegungsverpflichteten Kläger zu erbringendem Vortrag, welche seiner Daten konkret von den Hackern kopiert worden sind. Über diese Kenntnis verfügt der Kläger, weil die Beklagte mit ihrem Auskunftsschreiben in der dem Schreiben beigefügten Anlage 2 die kopierten Daten konkret bezeichnet hat. Dieser Umstand ist von der Beklagten bereits im erstinstanzlichen Verfahren unbestritten vorgetragen worden und auch im Berufungsverfahren bis zuletzt unstreitig geblieben. Zwar hat der Kläger in der mündlichen Verhandlung vom 10. Februar 2026 auf Nachfrage des Vorsitzenden angegeben,nach seiner Erinnerung habe er die Anlage 2 zum Informationsschreiben der Beklagten über den Datenschutzvorfall nicht erhalten, dies stellt aber kein erhebliches Bestreiten dar. Einerseits belegt der Umstand, dass der Kläger im Rahmen der mündlichen Verhandlung auf seinem Mobiltelefon zwar eine Kopie des Auskunftsschreiben vorgefunden hat, nicht aber die Anlagen zu dem Schreiben, nicht, dass diese dem ursprünglichen Schreiben nicht beigefügt waren. Andererseits stellt sein Hinweis auf seine fehlende Erinnerung nicht die ausdrückliche Angabe dar, die Anlage seien nicht beigefügt gewesen. Im Übrigen wäre das erstmalige Bestreiten des Erhalts der Anlage 2 in der mündlichen Verhandlung vor dem Landesarbeitsgericht verspätet, da es zumindest nicht mit der Berufungsbegründung erfolgt ist, § 67 Abs. 4 ArbGG, und die Berücksichtigung zu einer Verzögerung des Berufungsverfahrens führen würde.

Soweit der Kläger mit seiner Berufungsbegründung die erstinstanzliche Behauptung hinsichtlich der konkret kopierten Daten wiederholt, fehlt es an einer Auseinandersetzung mit dem Vortrag der Beklagten, bei den laut Kläger angeblich kopierten Daten handele es sich nicht um die widerrechtlich kopierten Daten, sondern um Daten, die in Beschäftigungsverhältnissen von der Beklagten grundsätzlich gespeichert werden. Diese grundsätzlich erhobenen Daten seien im Auskunftsschreiben als Anlage 1 beigefügt gewesen, die widerrechtlich kopierten Daten des Klägers in Anlage 2. Hinzu kommt, dass die Beklagte hinsichtlich einzelner Daten, nämlich bezüglich der Bank-, Steuer-, Renten- und Sozialversicherungsdaten sowie hinsichtlich der privaten Zugangsdaten und der Handynummer des Klägers ausdrücklich vorgetragen hat, diese Daten seien nicht kopiert worden. Eine Auseinandersetzung des Klägers mit diesem Vorbringen fehlt ebenfalls.

Soweit der Kläger mit der Berufungsbegründung neben der erstinstanzlich behaupteten Verletzung von Art. 32 und 34 DSGVO erstmals und im Weg der Verwendung von Textbausteinen die Verletzung von Art. 6, 12 bis 14, 33 und 35 DSGVO rügt, fehlt es insgesamt an einem hinreichenden Vortrag zu einem Datenschutzverstoß.

b. Auch das Vorliegen eines immateriellen Schadens – einen materiellen Schaden behauptet der Kläger nicht schlüssig – kann nach Auffassung der Kammer vorliegend nicht anerkannt werden. Der Kläger beruft sich insoweit auf einen Kontrollverlust durch das Kopieren seiner Daten und auf seine Befürchtung einer missbräuchlichen Verwendung seiner Daten durch die Hackerorganisation.

aa. Zwar kann nach der Rechtsprechung des EuGH ein Kontrollverlust auch dann gegeben sein, wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der geschützten Person erfolgt sein sollte (vgl. EuGH 4. Oktober 2024 - C-200/23 - [Agentsia po vpisvaniyata] Rn. 144 ff.), denn es kann die entsprechende Gefahr bestanden haben. Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 65; EuGH 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 79 ff.). Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25. Januar 2024 - C-687/21 - [MediaMarktSaturn] Rn. 68; BAG 20. Juni 2024 - 8 AZR 124/23 - Rn. 13; BSG 24. September 2024 - B 7 AS 15/23 R - Rn. 31).

Unter einem Kontrollverlust versteht der EuGH daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt (vgl. BSG 24. September 2024 - B 7 AS 15/23 R - Rn. 31). Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände als begründet angesehen werden kann (EuGH 14. Dezember 2023 - C-340/21 - [Natsionalna agentsia za prihodite] Rn. 85). Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus (BAG 25. Juli 2024 - 8 AZR 225/23 - Rn. 33; BAG 20. Juni 2024 - 8 AZR 124/23 - Rn. 15; BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10). Je gravierender die Folgen eines Verstoßes gegen die Datenschutz-Grundverordnung sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs. So wird die Veröffentlichung von sensiblen Daten im Internet aufgrund eines Datenlecks typischerweise eine Grundlage für solche Befürchtungen darstellen (BAG 20. Februar 2025 - 8 AZR 61/24 - Rn. 10).

bb. Zwar wird mit dem Kläger davon auszugehen sein, dass er wegen des widerrechtlichen Kopierens seiner nicht näher bezeichneten personenbezogenen Daten einen Kontrollverlust bezüglich ihrer erlitten hat, eine begründete Sorge bezüglich des Eintritts eines weitergehenden Schadens ist jedoch nicht erkennbar.

Zunächst ist festzuhalten, dass die personenbezogenen Daten des Klägers im Internet oder im Darknet nicht eingestellt sind und auch zu keinem Zeitpunkt für einen Abruf dort zur Verfügung standen. Alleine ist im Darknet eine Liste mit Dateinamen eingestellt worden. Die einzelnen mit dem Dateinamen bezeichneten Dateien sind nicht einzusehen. Der Inhalt der Dateien ist, mit Ausnahme der Hackerorganisation selbst, Dritten nicht zugänglich. Hinzu kommt, dass die Beklagte unbestritten vorgetragen hat, dass es sich bei den kopierten Daten um eine riesige Menge nicht nur personenbezogener Daten handele, die unstrukturiert für unbefugte Dritte nicht nutzbar seien und von unbefugten Dritten auch nicht ohne massiven finanziellen Aufwand strukturiert werden könnten. Auch das Hochladen der Daten insgesamt dürfte für die Hackerorganisation aufgrund der Datenmenge einen ganz erheblichen Kostenfaktor darstellen. Bereits vor dem Hintergrund dieser Kosten und des erheblichen Aufwands, die Daten des Klägers strukturiert zusammenzufassen und darzustellen, erscheint es der Kammer ausgeschlossen, dass personenbezogene Daten des Klägers öffentlich gemacht werden.

Aber selbst, wenn die Kammer davon ausgehen wollte, dass die personenbezogenen Daten des Klägers zukünftig noch eingestellt werden könnten, wären begründete Befürchtungen eines Datenmissbrauchs nicht anzuerkennen. Entscheidend ist in diesem Zusammenhang, dass die Daten veraltet sind und ihr Wert für Dritte, die die Daten in schädigender Weise nutzen wollten, gegen Null tendiert. Zunächst ist nämlich darauf hinzuweisen, dass die Daten nicht dem Stand des Zeitpunkts des Kopierens entsprechen, sondern allenfalls dem Zeitpunkt des Ausscheidens des Klägers aus dem Arbeitsverhältnis mit der A am 30. November 2020. Anhaltspunkte dafür, dass die vormalige Arbeitgeberin nach dem Ausscheiden des Klägers seine Daten noch gepflegt hat, sind nicht gegeben. Hinzu kommt, dass auch im Zeitpunkt des Ausscheidens des Klägers aus dem Arbeitsverhältnis seine Daten, die knapp zwei Jahre später kopiert worden sind, nicht vollständig aktuell waren. Im Rahmen der Erörterungen im Verhandlungstermin vor der Kammer hat sich beispielsweise herausgestellt, dass die Festnetznummer des Klägers, die kopiert worden ist, nicht der im Jahr 2020 verwendeten Festnetznummer des Klägers entsprach. Die kopierte Nummer entstammte vielmehr der Zeit der Begründung des Arbeitsverhältnisses. Sie war also im Jahr 2006 aktuell gewesen, nicht mehr jedoch in den Jahren 2020 oder 2022. Gleiches gilt bzgl. des kopierten Wohnorts des Klägers. Auch hier wurde eine Wohnortangabe kopiert, die im Kalenderjahr 2020 nicht mehr aktuell war.

Begründete Befürchtungen eines Missbrauchs der personenbezogenen Daten des Klägers bezüglich seiner Bank-, Steuer-, Renten- und Sozialversicherungsdaten sowie seiner privaten Zugangsdaten und seiner Mobiltelefonnummer scheiden schon deshalb aus, weil die Beklagte diesbezüglich im Ergebnis unbestritten angegeben hat, diese Daten seien nicht kopiert worden.

Vor diesem Hintergrund greift auch das Vorbringen des Klägers zu einem materiellen Schadensersatz nicht durch. Seine erstmals mit Schriftsatz vom 03. Februar 2023 (Blatt 131 der Akte) aufgestellte und von der Beklagten bestrittene Behauptung "Mein Microsoft-Account wurde gehackt und es kam zu Abbuchungen für nicht bestelle Spiele-Abos auf der Microsoft Plattform (Wert ca. 200-300 EUR)" erläutert ungeachtet des Fehlens jeglicher hinreichender Substantiierung und ungeachtet von § 67 ArbGG nicht, wie dieser Schaden entstanden sein soll, wenn private Zugangsdaten und Bankdaten nicht von den Hackern kopiert worden sind.

c. Soweit der Kläger mit der Berufungsbegründung eine Verletzung der Art. 6, 12 bis 14, 33, 34 und 35 DSGVO rügt, fehlt es auch an einem schlüssigen Vortrag des Klägers zu einer Kausalität zwischen dem behaupteten Datenschutzverstoß und dem hier geltend gemachten Schaden. Hierauf hat das Arbeitsgericht bezüglich Art. 34 DSGVO bereits zutreffend hingewiesen.

2. Der auf den Ersatz etwaiger zukünftiger Schäden gerichtete Feststellungsantrag des Klägers ist bereits unzulässig.

Die Zulässigkeit eines Feststellungsantrags setzt, soweit er sich auf künftig erwachsende Schäden bezieht, eine nicht entfernt liegende, vom Kläger darzulegende (vgl. BGH 5. Oktober 2021 - VI ZR 136/20 - Rn. 28) Möglichkeit eines Schadens voraus, d.h. aufgrund des festgestellten Sachverhalts muss der Eintritt eines künftigen weiteren Schadens zumindest denkbar und möglich erscheinen (vgl. BAG 05. Juni 2025 - 8 AZR 117/24 - Rn. 29; BAG 29. März 2023 - 5 AZR 55/19 - Rn. 28; BGH 10. Januar 2023 - VI ZR 67/20 - Rn. 14 mwN). Eine gewisse Wahrscheinlichkeit eines Schadenseintritts muss bestehen (LAG Düsseldorf – 12 Sa 1007/23 - Rn. 162). Hiervon kann vorliegend, wie unter II.1.b.bb. gezeigt, nicht ausgegangen werden.

Unabhängig von der fehlenden Zulässigkeit des Feststellungsantrags stünde diesem auch entgegen, dass der Kläger mit seinem Antrag im Gegensatz zum Verfahren erster Instanz nunmehr ein Kopieren der Daten am 01. August 2022 behauptet, wofür sich in der Akte keine Anhaltspunkte finden lassen. Diese Widersprüchlichkeit des Vortrags erster und zweiter Instanz konnte auch im Verhandlungstermin trotz Nachfragen von dem Kläger nicht aufgeklärt werden. Eine Berichtigung des Antrags unterblieb.

Den Volltext der Entscheidung finden Sie hier:

BGH: Recht auf Löschung gemäß Art. 17 DSGVO – Keine dauerhafte Speicherung nicht eintragungspflichtiger Daten im Handelsregister nach Widerruf der Einwilligung

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 31 Mar 2026 18:54:00 +0200

BGH
Beschluss vom 18.02.2026
II ZB 2/25
DSGVO Art. 17 Abs. 1 Buchst. b); HGB § 9 Abs. 1 Satz 1; HRV § 9 Abs. 7

Der BGH hat entschieden, dass es keine registerrechtliche Grundlage für eine dauerhafte Speicherung von nicht eintragungspflichtigen personenbezogenen Daten (sog. überobligatorische Daten) im Registerordner des Handelsregisters gibt, wenn die Einwilligung widerrufen wurde. In diesem Fall besteht ein Recht auf Löschung gemäß Art. 17 DSGVO.

Leitsatz des BGH:
Es gibt keine allgemeine registerrechtliche Grundlage dafür, in Anmeldungen zum Handelsregister enthaltene personenbezogene Daten, die nicht in das Handelsregister einzutragen sind (sog. überobligatorische Daten), nach Widerruf der Einwilligung des Anmeldenden dauerhaft im Registerordner des Handelsregisters zu speichern.

BGH, Beschluss vom 18. Februar 2026 - II ZB 2/25 - OLG Hamburg AG Hamburg

Den Volltext der Entscheidung finden Sie hier:

OLG Stuttgart: Gerichtliche Sachverständige sind eigenständige "Verantwortliche“ im Sinne der DSGVO und verpflichtet den Prozessparteien Auskunft nach Art. 15 DSGVO zu erteilen

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Sat, 28 Mar 2026 12:18:00 +0100

OLG Stuttgart
Urteil vom 25.02.2026
4 U 342/25

Das OLG Stuttgart hat entschieden, dass gerichtliche Sachverständige als eigenständige Verantwortliche im Sinne der DSGVO gelten und daher verpflichtet sind, Prozessparteien nach Art. 15 DSGVO Auskunft über verarbeitete Daten zu erteilen – dies umfasst nach Abschluss des Verfahrens auch die Herausgabe von Kopien (Teil-)Gutachten.

Aus den Entscheidungsgründen:
Die zulässige Berufung der Klägerin ist begründet. Der geltend gemachte Auskunftsanspruch ergibt sich aus Art. 15 Abs. 1 und 3 DSGVO.

Gem. Art. 15 Abs. 1 DSGVO hat eine betroffene Person das Recht, von dem Verantwortlichen, der sie betreffende personenbezogene Daten verarbeitet, Auskunft über diese personenbezogenen Daten zu erhalten. Gem. Art. 15 Abs. 3 Satz 1 DSGVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

1.
Die Bestimmungen der Datenschutz-Grundverordnung sind anwendbar. Der sachliche Anwendungsbereich gem. Art. 2 Abs. 1 DSGVO ist eröffnet, da es um die Verarbeitung personenbezogener Daten der Klägerin geht, die in einem Dateisystem des Beklagten gespeichert sind, und da für die Tätigkeit eines gerichtlichen Sachverständigen keiner der Ausnahmetatbestände des Art. 2 Abs. 2 DSGVO eingreift (vgl. Deutschmann, ZD 2021, 414 [415]). Dass die DSGVO auch für die Tätigkeiten der Gerichte und anderer Justizbehörden gilt, wird in Erwägungsgrund 20 Satz 1 DSGVO ausdrücklich ausgeführt. Der EuGH hat zudem klargestellt, dass die DSGVO auch auf die Verarbeitung personenbezogener Daten in zivilgerichtlichen Verfahren anwendbar ist (EuGH, Urteil vom 02.03.2023, C-268/21, Rn. 26). Für die Tätigkeit des Sachverständigen als „Gehilfe“ des Gerichts (Zöller/Greger, ZPO, 36. Aufl. 2026, Vor § 402, Rn. 1) gilt nichts anderes.

Randnummer55
2.
Die datenschutzrechtlichen Bestimmungen zum Auskunftsrecht werden nicht durch die verfahrensrechtlichen Akteneinsichtsrechte verdrängt (Deutschmann, ZD 2021, 414 [417]; Bäcker in Kühling/Buchner, 4. Aufl. 2024, DSGVO, Art. 15, Rn. 6b; Schmidt-Wudy in BeckOK Datenschutzrecht, 54. Edition, Stand 01.11.2025, DSGVO, Art. 15, Rn. 33; a.A. OLG Köln, ZD 2022, 695; Dörr, MDR 2022, 605 [611]). Die Akteneinsichtsrechte dienen anderen Zwecken als die Rechte aus Art. 15 DSGVO und bestimmen dementsprechend sowohl die Voraussetzungen als auch die Gegenstände der Akteneinsicht abweichend. So erstrecken sich die Akteneinsichtsrechte auf den gesamten Inhalt der Gerichtsakten und der dem Gericht vorgelegten Akten, während sich die Rechte auf Auskunft und auf Datenkopie auf die personenbezogenen Daten der jeweiligen betroffenen Person beschränken (Bäcker in Kühling/Buchner, aaO., Rn. 6b).

Ohnehin genießt die DSGVO als europäische Verordnung gegenüber dem nationalen Verfahrensrecht einen Anwendungsvorrang (Deutschmann, ZD 2021, 414 [417]; Ruffert in Calliess/Ruffert, EUV/AEUV, 6. Aufl. 2022, AEUV, Art. 1, Rn. 17).

3.
Der Beklagte ist Verantwortlicher i.S.d. Art. 15 DSGVO.

Verantwortlicher ist nach Art. 4 Nr. 7 Halbsatz 1 DSGVO die Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Über die Zwecke entscheidet zwar im Wesentlichen das Gericht, das den Beweisbeschluss erlässt. Über die Mittel der Verarbeitung entscheidet aber in der Regel allein der gerichtliche Sachverständige. Sachverständige sind hinsichtlich der Art und Weise, wie das beabsichtigte Ergebnis erreicht werden soll, selbst entscheidungsbefugt. Sie handeln nicht als funktionaler Teil des Gerichts, sondern eigenverantwortlich. Primär die Sachverständigen legen die Mittel der Datenverarbeitung fest. Sie entscheiden, welche Daten sie für die Ausarbeitung des Gutachtens benötigen. Für Gerichte ist es in aller Regel auch irrelevant, welche technischen Mittel dabei zum Einsatz kommen. Zudem fehlt es regelmäßig an einer Überwachungs- und Kontrollmöglichkeit des Gerichts hinsichtlich der Datenverarbeitungsmodalitäten. Dass das Gericht gem. § 404a Abs. 1 ZPO die Tätigkeit des Sachverständigen zu leiten hat und ihm für Art und Umfang seiner Tätigkeit Weisungen erteilen kann, betrifft vor allem, was Sachverständige erforschen sollen, nicht wie sie es erforschen sollen (Erkelenz/Leopold, NZS 2019, 926; Engel in Anmerkungen zu OLG Düsseldorf, ZEuP 2023, 230 [245]; Zimmermann in MüKo/ZPO, 7. Aufl. 2025, § 404a, Rn. 3).

Umstände, die im vorliegenden Fall eine andere Bewertung rechtfertigen könnten, sind weder vorgetragen noch ersichtlich. Es bestehen daher keine Zweifel daran, dass der Beklagte Verantwortlicher im Sinne der DSGVO ist.

4.
Der Beklagte hat bei den Arbeiten zur Erstellung der Gutachten in den beiden beim Landgericht Göttingen anhängigen Verfahren personenbezogene Daten der Klägerin verarbeitet und speichert diese. Das ist unstreitig.

Der Beklagte schuldet der Klägerin daher unabhängig von etwaigen Auskunftspflichten des Gerichts grundsätzlich in eigener Verantwortung Auskunft gem. Art. 15 DSGVO (vgl. Erkelenz/Leopold, NZS 2019, 926 [930]). Dieses Auskunftsrecht der Klägerin ist nicht durch die Regeln der Zivilprozessordnung, durch ein etwaiges Urheberrecht des Beklagten oder durch dessen Recht auf angemessene Vergütung eingeschränkt.

a)
Gem. Art. 23 Abs. 1 DSGVO kann das in Art. 15 DSGVO vorgesehene Auskunftsrecht im Wege von Gesetzgebungsmaßnahmen durch Rechtsvorschriften der Union oder der Mitgliedstaaten beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die eine der nachfolgend in der Vorschrift aufgeführten Ziele sicherstellt, u.a. den Schutz von Gerichtsverfahren (lit. f), den Schutz der Rechte und Freiheiten anderer Personen (lit. i) und die Durchsetzung zivilrechtlicher Ansprüche (lit. j).

aa)
Weder im Hinblick auf den Schutz von Gerichtsverfahren noch im Hinblick auf die Durchsetzung zivilrechtlicher Ansprüche ist Art. 23 Abs. 1 DSGVO im vorliegenden Fall einschlägig, denn die Zivilprozessordnung enthält keine Regelung, die das in Art. 15 DSGVO vorgesehene Auskunftsrecht einer Partei gegenüber dem gerichtlichen Sachverständigen beschränkt. Eine solche Beschränkung lässt sich insbesondere keiner der allgemeinen Vorschriften über die Beweisaufnahme (§§ 355-370 ZPO) und auch keiner der Vorschriften zum Beweis durch Sachverständige (§§ 402-414 ZPO) entnehmen.

Auch aus allgemeinen Erwägungen zum Schutz von Gerichtsverfahren ergibt sich eine Beschränkung des Auskunftsrechts nicht.

(i)
Hinsichtlich der Anträge Ziff. 1, 2 und 5 kommt eine Beschränkung des Auskunftsrechts zum Schutz des Gerichtsverfahrens schon unabhängig von dem Umstand, dass im vorliegenden Fall von einem rechtskräftigen Abschluss des Gerichtsverfahrens auszugehen ist, nicht in Betracht.

Die Anträge Ziff. 1, 2 und 5 beziehen sich auf Befundtatsachen, d.h. auf Tatsachen, die der Sachverständige in Ausführung des Gutachtenauftrags auf Grund seiner Sachkunde ermittelt hat. Zu solchen Befundtatsachen zählen Tatsachen, die der Sachverständige durch Einsichtnahme in die Krankenunterlagen selbst beschafft hat (vgl. BGH, Beschluss vom 17.08.2011, V ZB 128/11, Rn. 18; Zimmermann in MüKo/ZPO, 7. Aufl. 2025, § 404a, Rn. 9). Dies trifft auf die streitgegenständlichen Dokumente gem. den Anträgen Ziff. 1, 2 und 5 zu. Der Antrag Ziff. 5 betrifft die vom Beklagten erstellte Zusammenfassung des Behandlungsverlaufs. Damit im Wesentlichen identisch ist die im Antrag Ziff. 1 genannte lückenlose Gesamtrekonstruktion des Behandlungsablaufs. Gleiches gilt für die chronologische Behandlungshistorie für jeden einzelnen Zahn, die Gegenstand des Antrags Ziff. 2 ist; insoweit ist lediglich von einer anderen Art der Darstellung auszugehen. In sämtlichen Fällen handelt es sich daher nicht um sachverständige Schlussfolgerungen des Gutachters, sondern um Tatsachen, auf deren Grundlage der Gutachter die sachverständig begründeten Schlussfolgerungen zieht.

Auch bei Befundtatsachen gilt wie bei den sonstigen Anknüpfungstatsachen, die die Parteien selbst vorzutragen haben, dass jedenfalls die wesentlichen Anknüpfungstatsachen offenzulegen sind. Dies geschieht zwar üblicherweise im Gutachten (Zöller/Greger, aaO., § 404a, Rn. 6). Es spricht jedoch nichts dagegen, den Parteien bereits früher die Möglichkeit zu geben, zur Richtigkeit und Vollständigkeit der Befundtatsachen Stellung zu nehmen, zumal dies dem rechtlichen Gehör der Parteien dient und es sich bei der Ermittlung der Tatsachen durch den Sachverständigen ohnehin um eine Ausnahme von dem Grundsatz handelt, dass das Beibringen der Tatsachen primär Sache der beweispflichtigen Partei ist (Zöller/Greger, aaO., § 404a, Rn. 3). Angesichts dessen ist nicht ersichtlich, dass die Gewährung eines Auskunftsanspruchs zu der Frage, auf welcher Tatsachengrundlage der Sachverständige sein Gutachten erstatten will, das Gerichtsverfahren beeinträchtigen könnte.
(ii)
Auch im Hinblick auf das Gutachten, das Gegenstand des Antrags Ziff. 4 ist, kommt eine Beschränkung des Auskunftsrechts zum Zwecke des Schutzes von Gerichtsverfahren bzw. zur Sicherstellung der Durchsetzung zivilrechtlicher Ansprüche nicht in Betracht.

Nach § 411 Abs. 1 ZPO setzt das Gericht dem Sachverständigen eine Frist, innerhalb derer er das von ihm unterschriebene schriftliche Gutachten zu übermitteln hat. Es dürfte in Widerspruch zu dieser Vorschrift stehen, wenn der Sachverständige schon vor Ablauf dieser Frist den Parteien das noch nicht fertiggestellte Gutachten übermitteln müsste. Zudem könnte sich in diesem Fall auch ein Widerspruch zu den Vorschriften über den Auslagenvorschuss gem. §§ 402, 379 ZPO ergeben.

Ob deshalb eine Beschränkung des Auskunftsrechts in Betracht kommt, kann in diesem Fall jedoch dahinstehen, da der Zivilprozess mit dem Az. 9 O 4/11, in dem der Beklagte das Gutachten, dessen Herausgabe die Klägerin begehrt, zu 90 % fertiggestellt hat, mittlerweile rechtskräftig abgeschlossen ist. Der diesbezügliche Vortrag der Klägerin ist in zweiter Instanz zwar neu, da die Klägerin ihn erst nach Schluss der mündlichen Verhandlung in erster Instanz vorgetragen hat. Er ist jedoch gem. § 531 Abs. 2 Nr. 3 ZPO zulässig, da die Rechtskraft des Urteils erst nach Schluss der mündlichen Verhandlung in erster Instanz eingetreten ist und von der Klägerin daher auch nicht früher vorgetragen werden konnte. Soweit die Beklagte den Vortrag der Klägerin bestreitet, hat die Klägerin die Rechtskraft des Urteils durch Vorlage des Rechtskraftvermerks ausreichend belegt (Anlage K18). Jedenfalls nach dem rechtskräftigen Abschluss des Rechtsstreits ist § 411 Abs. 1 ZPO nicht mehr anwendbar. Ein Widerspruch zum Auskunftsanspruch besteht daher nicht. Auch ein Widerspruch zu der Vorschusspflicht nach §§ 402, 379 ZPO besteht in diesem Fall nicht mehr, da diese Vorschriften lediglich die Beweisaufnahme in einem noch laufenden Zivilprozess betreffen.

Nach dem rechtskräftigen Abschluss des Verfahrens ist auch nicht ersichtlich, inwiefern die Gewährung eines Auskunftsanspruchs bzgl. eines vom gerichtlichen Sachverständigen teilweise fertiggestellten Gutachtens das Ziel des Zivilprozesses, das darin liegt, bürgerlich-rechtliche Rechte oder Rechtsverhältnisse im Erkenntnis- oder Urteilsverfahren festzustellen (vgl. Zöller/Vollkommer, aaO., Einl. Rn. 1), beeinträchtigen könnte.

Eine andere Beurteilung rechtfertigt auch das noch laufende Parallelverfahren 9 O 24/11 nicht. Der Beklagte hat ein Gutachten zum Verfahren 9 O 4/11 gefertigt und nicht zu dem Parallelverfahren 9 O 24/11. Dass das Gutachten auch Fragen behandelt, die im Verfahren 9 O 24/11 relevant sind, hat der Beklagte nicht substantiiert vorgetragen. Selbst wenn dies der Fall wäre, erschließt sich nicht, wieso dies eine Einschränkung des Auskunftsrechts bzgl. eines in einem anderen Verfahren erstellten (Teil-)Gutachtens rechtfertigen könnte, zumal § 411a ZPO die Möglichkeit ausdrücklich vorsieht, Sachverständigengutachten aus anderen Verfahren zu verwerten.

(iii)
Dahinstehen kann, ob auch der Antrag Ziff. 3 eine Befundtatsache betrifft oder ob die zahnbezogene Analyse, die Gegenstand dieses Auskunftsantrags ist, schon eine eigene gutachterliche Tätigkeit des Beklagten beinhaltet. Sollte Letzteres der Fall sein, gelten insoweit die Ausführungen unter (ii) zum Antrag Ziff. 5 entsprechend. Andernfalls gilt das Gleiche wie zu den Anträgen Ziff. 1, 2 und 5 (oben unter (i)).

bb)
Eine Beschränkung des Auskunftsrechts ergibt sich auch nicht aus Art. 6 Abs. 1 Satz 1 EMRK.

Nach dieser Vorschrift hat jede Person ein Recht darauf, dass über Streitigkeiten in Bezug auf ihre zivilrechtlichen Ansprüche und Verpflichtungen von einem unabhängigen und unparteiischen Gericht in einem fairen Verfahren verhandelt wird. Aus dem Grundsatz eines fairen Verfahrens ergibt sich das Erfordernis der Waffen- und Chancengleichheit. Alle Beteiligten in einem Verfahren müssen gleichbehandelt werden, also insbesondere in gleichem Umfang unterrichtet werden und unter denselben Bedingungen die Möglichkeit haben, vorzutragen und ihre Sache geltend zu machen (HK-EMRK/Harrendorf/König/Voigt, 5. Aufl. 2023, EMRK Art. 6 Rn. 117). Dieses Gebot der Waffengleichheit gilt auch im Beweisverfahren (Harrendorf/König/Voigt, aaO., Rn. 135).

Das Gebot der Waffengleichheit wäre nur verletzt, wenn der Sachverständige die Auskunft nur der betroffenen Person gegenüber erteilen dürfte und nicht auch gegenüber dem Gericht. Dies ist jedoch nicht richtig. Art. 9 Abs. 2 lit. f) DSGVO gilt auch für den Sachverständigen, der in einem Gerichtsverfahren tätig wird (Greve in Auernhammer, aaO., Art. 9, Rn. 48). Der Sachverständige ist deshalb nach Art. 9 Abs. 2 lit. f) DSGVO befugt, das Gericht über alles zu informieren, was für die Beweisaufnahme im Zusammenhang mit der Gutachtenerstattung von Relevanz sein könnte (vgl. Erkelenz/Leopold, NZS 2019, 926 [929]). Dies schließt auch die Mitteilung über eine Auskunft an den Kläger nach Art. 15 DSGVO mit ein, da diese Mitteilung an das Gericht erforderlich ist, damit die Gegenpartei – nach entsprechender Unterrichtung durch das Gericht – ihre Rechtsansprüche ausüben bzw. sich gegen die geltend gemachten Rechtsansprüche verteidigen kann. Der Sachverständige würde sich der Besorgnis der Befangenheit aussetzen, wenn er eine derartige Auskunftserteilung an nur eine der Parteien dem Gericht gegenüber verschweigen würde.

b)
Eine Beschränkung des Auskunftsrechts der Klägerin ergibt sich auch nicht aus dem Schutz der Rechte und Freiheiten anderer Personen gem. Art. 23 Abs. 1 lit. i) DSGVO. Insoweit beruft sich der Beklagte lediglich pauschal darauf, dass sein Urheberrecht an dem zu 90 % fertig gestellten Gutachten dem behaupteten Auskunftsanspruch entgegenstünde.

aa)
Dass das Gutachten Urheberrechtsschutz genießt, ist keineswegs selbstverständlich. Zwar sind wissenschaftliche Gutachten in der Regel urheberrechtlich schutzfähig, jedenfalls, soweit zu wissenschaftlichen Streitfragen Stellung genommen wird, die die Berücksichtigung bisheriger Stellungnahmen und eine detaillierte Auseinandersetzung mit der Problematik erfordern. Allerdings wirken die Verwendung notwendiger oder üblicher Darstellungsprinzipien, insbesondere in Aufbau und Terminologie, nicht schutzbegründend. Zudem ist von der Rechtsprechung der Schutz von Gutachten teilweise mit der Begründung, bei wissenschaftlichen Werken sei die Schutzuntergrenze höher anzusetzen, verneint worden (Loewenheim/Leistner in Schricker/Loewenheim, Urheberrecht, 6. Aufl. 2020, § 2, Rn. 141).

Substantiierter Vortrag des Beklagten zum Inhalt des zu 90 % fertiggestellten Gutachtens fehlt. Damit ist auch nicht schlüssig dargelegt, dass es sich bei dem Gutachten um ein urheberrechtlich schutzfähiges Werk handelt.

bb)
Selbst wenn das zu 90 % fertige Gutachten Urheberrechtsschutz nach dem UrhG genießen würde, könnte sich der Beklagte gleichwohl nicht pauschal auf sein Urheberrecht berufen und die Herausgabe des Gutachtens insgesamt verweigern.

Nach Art. 15 Abs. 4 DSGVO und Erwägungsgrund 63 darf das Recht auf Erhalt einer Kopie gemäß Art. 15 Abs. 3 DSGVO die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums nicht beeinträchtigen. Absatz 4 betrifft seinem Wortlaut nach zwar nur den Fall, dass eine Auskunft gerade durch Überlassung einer Kopie erteilt wird. Da die Überlassung einer Kopie nur eine spezifische Modalität der Erfüllung des Auskunftsanspruchs darstellt, gilt die Regelung jedoch unabhängig davon, in welcher Form der Auskunftsanspruch im Einzelfall erfüllt wird (Ehmann in Ehmann/Selmayr, DSGVO, 3. Aufl. 2024, Art. 15, Rn. 71).

Im Fall eines Konflikts zwischen der Ausübung des Rechts auf vollständige und umfassende Auskunft über die personenbezogenen Daten zum einen und den Rechten oder Freiheiten anderer Personen zum anderen haben die Rechte oder Freiheiten anderer Personen nicht den Vorrang. Vielmehr sind die fraglichen Rechte gegeneinander abzuwägen (Ehmann in Ehmann/Selmayr, aaO., Art. 15, Rn. 72 f.). Nach Möglichkeit sind Modalitäten der Übermittlung der personenbezogenen Daten zu wählen, die die Rechte oder Freiheiten anderer Personen nicht verletzen, wobei diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird, wie sich aus dem 63. Erwägungsgrund DSGVO ergibt (EuGH, Urteil vom 4. Mai 2023 – C-487/21 –, Rn. 44, juris). Bei der Abwägung ist zudem zu berücksichtigen, dass die Zivilprozessordnung in § 407a Abs. 5 ZPO ohnehin eine Verpflichtung des Sachverständigen vorsieht, auf Verlangen des Gerichts die für die Begutachtung beigezogenen Unterlagen sowie die Untersuchungsergebnisse zur Unterrichtung der Parteien oder eines ggf. gem. § 404 Abs. 1 Satz 3 ZPO oder § 412 ZPO in Anspruch genommenen anderen oder weiteren Sachverständigen herauszugeben (Zöller/Greger, aaO., § 407a, Rn. 4).

c)
Das Recht des Sachverständigen auf angemessene Vergütung ist durch die bestehende Auskunftspflicht nicht verletzt. Die Entschädigung des Sachverständigen richtet sich nach §§ 8 ff. JVEG. Der Auskunftsanspruch ändert hieran nichts. Selbst wenn ein auskunftsberechtigter Kläger aufgrund der Auskunft kein Interesse mehr an dem Gutachten haben sollte und die Klage zurücknimmt oder den erforderlichen Vorschuss für eine Fortsetzung der Begutachtung nicht einzahlt, erhält der Sachverständige gleichwohl eine Vergütung für alle erforderlichen Vorbereitungsarbeiten und erbrachten Teilleistungen (Bleutge in BeckOK Kostenrecht, 51. Ed., Stand 01.12.2025, JVEG, § 8, Rn. 28).

d)
Ist das Auskunftsrecht schon nicht gem. Art. 23 Abs. 1 DSGVO durch andere Rechtsvorschriften eingeschränkt, kommt es auf die Frage, ob die in Betracht kommenden Beschränkungsregelungen auch die erforderlichen Mindestinhalte nach Art. 23 Abs. 2 DSGVO enthalten, nicht mehr an.

5.
Der Auskunftsanspruch besteht in dem von der Klägerin geltend gemachten Umfang.

Vom Auskunftsanspruch umfasst ist insbesondere auch das gesamte, zu 90 % fertiggestellte Gutachten. Es kommt insoweit nicht darauf an, an welchen Stellen des Gutachtens die Klägerin namentlich genannt wird bzw. die Ausführungen in einem direkten Bezug zur Klägerin stehen.

Nach der Rechtsprechung des EuGH begründet Art. 15 Abs. 3 Satz 1 DSGVO nicht lediglich ein Recht der betroffenen Person auf eine Kopie der personenbezogenen Daten als solche. Art. 15 Abs. 3 Satz 1 DSGVO enthält vielmehr auch ein Recht auf Auszüge von Dokumenten bzw. auf das ganze Dokument, das die personenbezogenen Daten enthält, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten (EuGH, Urteil vom 26.10.2023, C-307/22, Rn. 74 f. – Kostenlose erste Kopie von Patientenakte). Im Hinblick auf das Gutachten bedeutet dies, dass sich der Beklagte nicht auf die Auskunft beschränken darf, welche personenbezogenen Daten der Klägerin im Gutachten auftauchen. Erforderlich ist vielmehr auch eine originalgetreue Reproduktion des Kontexts, in dem das jeweilige personenbezogene Datum steht.

Der Auskunftsanspruch umfasst damit sämtliche Teile des Gutachtens, die in irgendeinem inhaltlichen Bezug zur Klägerin stehen. Umfasst sind damit auch allgemeine zahnmedizinische Ausführungen, selbst wenn diese für sich genommen keinen Bezug zur Klägerin aufweisen, da davon auszugehen ist, dass diese dem Verständnis der weiteren Ausführungen dienen und dieser Kontext daher erforderlich ist, um die Verständlichkeit der personenbezogenen Ausführungen zu gewährleisten. Eine Zurverfügungstellung einer einfachen Zusammenfassung oder Zusammenstellung der personenbezogenen Daten der Klägerin durch den Beklagten genügt nicht, weil dann die Gefahr bestünde, dass bestimmte relevante Daten ausgelassen oder unrichtig wiedergegeben werden oder dass jedenfalls die Überprüfung ihrer Richtigkeit und Vollständigkeit sowie ihr Verständnis durch die Klägerin erschwert würde (vgl. EuGH, aaO., Rn. 78).

Den Volltext der Entscheidung finden Sie hier:

EuGH: Auskunftsanspruch nach Art. 15 DSGVO kann bei rechtsmissbräuchlicher Absicht zur Erlangung von Schadensersatz aus Art. 82 DSGVO als "exzessiv" gemäß Art. 12 Abs. 5 DSGVO abgelehnt werden

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 19 Mar 2026 16:37:00 +0100

EuGH
Urteil vom 19.03.2026
C-526/24
Brillen Rottler

Der EuGH hat entschieden, dass ein Auskunftsanspruch nach Art. 15 DSGVO als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO abgelehnt werden kann, wenn eine Newsletter-Anmeldung und der anschließend geltend gemacht Auskunftsanspruch primär in der missbräuchlichen Absicht erfolgten, künstlich die Voraussetzungen für einen Schadensersatzanspruch gemäß Art. 82 DSGVO zu schaffen.

Die Pressemitteilung des EuGH:
Ein Antrag auf Auskunft über die eigenen personenbezogenen Daten kann als missbräuchlich eingestuft und zurückgewiesen werden, wenn er allein in der Absicht gestellt wird, anschließend Schadensersatz wegen eines angeblichen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) zu fordern

Eine in Österreich wohnhafte Person abonnierte den Newsletter des familiengeführten Optikerunternehmens Brillen Rottler mit Sitz im deutschen Arnsberg. Dabei gab sie ihre personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein.

13 Tage später richtete sie einen Auskunftsantrag nach der DSGVO an Brillen Rottler. Nach der DSGVO hat eine betroffene Person im Sinne dieser Verordnung das Recht, von dem Verantwortlichen im Sinne dieser Verordnung eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und, wenn dies der Fall ist, das Recht auf Auskunft über diese Daten und die damit verbundenen Informationen.

Brillen Rottler wies den Antrag zurück, da er missbräuchlich sei. Aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten sei ersichtlich, dass sich der Antragsteller systematisch zu Newslettern verschiedener Unternehmen anmelde, dann Auskunft beantrage und schließlich Schadensersatz fordere. Der Antragsteller hingegen hält seinen Auskunftsantrag für legitim und fordert von Brillen Rottler eine Entschädigung in Höhe von mindestens 1 000 Euro für den immateriellen Schaden, der ihm durch die Zurückweisung des Antrags entstanden sei.

Das Amtsgericht Arnsberg, das mit dem Rechtsstreit zwischen Brillen Rottler und dem Antragsteller über die Berechtigung der vorstehend genannten Anträge befasst ist, hat den Gerichtshof dazu befragt, ob ein erster Antrag der betroffenen Person auf Auskunft über personenbezogene Daten als „exzessiv“ angesehen werden kann und ob diese Person einen Anspruch auf Ersatz des aus einer Verletzung des Rechts auf Auskunft über diese Daten entstandenen Schadens hat.

Der Gerichtshof antwortet, dass ein erster Auskunftsantrag unter bestimmten Umständen bereits als „exzessiv“ im Sinne der DSGVO angesehen werden und daher missbräuchlich sein kann.

Dies ist der Fall, wenn der Verantwortliche nachweist, dass trotz formaler Einhaltung der in der DSGVO vorgesehenen Voraussetzungen für die Stellung eines Auskunftsantrags dieser Antrag nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, sondern in der als „missbräuchlich“ einzustufenden Absicht, künstlich die Voraussetzungen für die Erlangung von Schadensersatz nach der DSGVO zu schaffen.

Dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden.

Außerdem hat eine Person, der wegen eines Verstoßes gegen die DSGVO – einschließlich einer Verletzung des Rechts auf Auskunft über ihre personenbezogenen Daten – ein materieller oder immaterieller Schaden entstanden ist6, Anspruch auf Ersatz des betreffenden Schadens gegen den Verantwortlichen. Der Gerichtshof stellt jedoch klar, dass die betroffene Person als Voraussetzung für einen solchen Schadensersatz u. a. nachweisen muss, dass ihr tatsächlich ein entsprechender Schaden entstanden ist. Im Übrigen kann diese Person keinen Schadensersatz7 nach der DSGVO erhalten, wenn ihr eigenes Verhalten die entscheidende Ursache für den Schaden ist.

Es ist Sache des Amtsgerichts Arnsberg, den bei ihm anhängigen Rechtsstreit unter Berücksichtigung der Antworten des Gerichtshofs zu entscheiden.

Tenor der Entscheidung:
1. Art. 12 Abs. 5 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein erster von der betroffenen Person an den Verantwortlichen gerichteter Antrag nach Art. 15 dieser Verordnung auf Auskunft über personenbezogene Daten als „exzessiv“ im Sinne dieses Art. 12 Abs. 5 angesehen werden kann, wenn der Verantwortliche in Ansehung aller relevanten Fallumstände nachweist, dass dieser Antrag trotz formaler Einhaltung der in diesen Bestimmungen vorgesehenen Bedingungen von der betroffenen Person nicht gestellt wurde, um sich der Verarbeitung dieser Daten bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, damit sie anschließend ihre Rechte aus der besagten Verordnung schützen kann, sondern in missbräuchlicher Absicht wie zur künstlichen Schaffung der Voraussetzungen für die Erlangung eines sich aus dieser Verordnung ergebenden Vorteils. Dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er der betroffenen Person einen Anspruch auf Ersatz des aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 dieser Verordnung entstandenen Schadens verleiht.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, das der immaterielle Schaden der betroffenen Person den Verlust der Kontrolle über ihre personenbezogenen Daten oder ihre Ungewissheit darüber umfasst, ob ihre Daten verarbeitet wurden, sofern insbesondere nachgewiesen wird, dass dieser Person tatsächlich ein solcher Schaden entstanden ist und dass ihr Verhalten nicht die entscheidende Ursache für diesen Schaden war.

Den Volltext der Entscheidung finden Sie hier:

LG Krefeld: Kein Schadensersatz aus Art. 82 DSGVO bei Hackerangriff (hier: Zero-Day-Exploit) ohne Nachweis unzureichender Sicherheitsmaßnahmen des Unternehmens

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 17 Mar 2026 11:51:00 +0100

LG Krefeld
Urteil vom 06.11.2025
3 O 93/24

Das LG Krefeld hat entschieden, dass ein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei einem Hackerangriff – im vorliegenden Fall ein Zero-Day-Exploit – nicht besteht, wenn der Nachweis unzureichender Sicherheitsmaßnahmen des Unternehmens fehlt und ein konkreter Schaden nicht substantiiert dargelegt wurde.

Aus den Entscheidungsgründen:
Gemäß Art. 82 Abs. 4 DSGVO haften sowohl der Verantwortliche (hier die Beklagte zu 1) gemäß Art. 4 Nr. 7 DSGVO) als auch der Auftragsverarbeiter (hier die Beklagte zu 2) gemäß Art. 4 Nr. 8 DSGVO) gesamtschuldnerisch für einen verursachten Schaden. Soweit die Klägerin ein wirksames Auftragsverarbeitungsverhältnis zwischen den Beklagten mit Nichtwissen bestreitet (Bl. 162 d. A.), ist dieses Bestreiten gemäß § 138 Abs. 4 ZPO unbeachtlich, da er im Widerspruch zu ihrem vorherigen Vortrag (z.B. auf Bl. 8 f. d. A) steht. Denn die Klägerin trägt selbst vor, dass die Daten durch die Beklagte zu 2) als Dienstleister der Beklagten zu 1) verarbeitet worden sind.

Zudem kann das Gericht keinen schuldhaften Verstoß der Beklagten gegen die DSGVO annehmen. Insbesondere kann ein schuldhafter Verstoß gegen Art. 5 Abs. 1 lit. f), 24, 32 DSGVO nicht angenommen werden.

Nach Art. 5 Abs. 1 f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen, wobei dies der Verantwortliche nach Art. 5 Abs. 2 DSGVO nachzuweisen hat. Nach Art. 24 Abs. 1 S. 1 DSGVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Nach Art. 24 Abs. 2 DSGVO müssen diese Maßnahmen die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen, sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, und zwar unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Die DSGVO verlangt ein Risikomanagementsystem einzuführen, aber nicht die Beseitigung des Risikos von Verletzungen des Schutzes personenbezogener Daten (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Aus dem Wortlaut der Art. 24 und 32 DSGVO ergibt sich, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf geeignet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 30, juris). Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind. Dabei steht dem Verantwortlichen ein gewisser Entscheidungsspielraum zu (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 43, juris).

Die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 f) und Art. 32 DSGVO gewährleisten, obliegt dem für die betreffende Verarbeitung Verantwortlichen (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 52, juris). Wenn eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO von Cyberkriminellen und damit von „Dritten“ im Sinne von Art. 4 Nr. 10 DSGVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 f), Art. 24 und Art. 32 DSGVO obliegt, ermöglicht hat (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 71, juris). Hackerangriffe oder Datenlecks entlasten (nur), wenn der Verantwortliche die übliche Sorgfalt zum Schutz der Daten angewendet hat, wobei zu berücksichtigen ist, dass die DSGVO nicht erfordert, alle theoretisch möglichen Schutzvorkehrungen vorzusehen (Quaas, in: BeckOK DatenschutzR, 51. Edition Stand: 01.02.2025, Art. 82, Rn. 18).

Ein pflichtwidriger Verstoß der Beklagten gegen die DSGVO kann vor diesem Hintergrund nicht festgestellt werden. Die Beklagten haben die Einhaltung ihrer datenschutzrechtlichen Pflichten substantiiert und ausführlich dargelegt, dies vermag die Klägerin mit ihrem bloßen Bestreiten nicht zu entkräften. Die Klägerin unterliegt vielmehr irrig der Annahme, der erfolgreiche Angriff liefere ein belastbares Indiz für unzureichende technische und organisatorische Maßnahmen im Vorfeld. Ein derartiger Rückschluss ist jedoch verfehlt (vgl. dazu OLG Stuttgart, BeckRS 2021, 6282 Rn. 52). Soweit sie darauf abstellt, dass die Beklagten weitere technische Maßnahmen hätten ergreifen können, wovon sie einige aufzählt, ergibt sich hieraus keine Umsetzungspflicht, deren Nichteinhaltung einen datenschutzrechtlichen Verstoß begründen kann. Die Beklagten sind lediglich dazu verpflichtet, geeignete Maßnahmen zu treffen, die darauf gerichtet sich, eine Datenschutzverletzung so weit wie möglich zu verhindern (vgl. EuGH ZD 2024, 150, 152 Rn. 30 f.). Dies ist nicht gleichbedeutend mit sämtlichen, den Stand der Technik erschöpfenden Maßnahmen. Unzureichend wären die von den Beklagten beschriebenen TOM nur dann, wenn sich zuvor konkrete Anhaltspunkte für die Fehleranfälligkeit der - zum Zeitpunkt des Vorfalls - marktführenden G.-Anwendung ergeben hätten. Die Klägerin behauptet insoweit pauschal und ohne nähere Darlegung. Sie verweist hierzu auf einen unergiebigen öffentlichen Beitrag sowie auf sog. CVE-Einträge einer Fehlerdatenbank. Daraus ergibt sich indes nicht, ob die Beklagten diese Umstände vor dem Cyberangriff konkret wahrgenommen haben oder hätten wahrnehmen müssen, da insbesondere die letztgenannte Quelle vielmehr dafür spricht, dass das Programm seitens des Herstellers regelmäßig überprüft und sicherheitstechnisch weiterentwickelt wurde und wird. Gegen die Annahme, dass die Beklagten entsprechende Bedenken hätten haben müssen, spricht der Umstand, dass weltweit ca. 2.500 Unternehmen und Institutionen dem - insoweit unvorhergesehenen - sog. „zero-day-exploit“ zum Opfer fielen. Die Beklagte zu 1) hatte keinen Anlass zur verstärkten Kontrolle der Beklagten zu 2), Zweifel an der Eignung der Beklagten zu 2) als Auftragsverarbeiterin wurden nicht vorgetragen.

Selbst wenn man einen Verstoß unterstellen würde, würde dies vorliegend nicht zu einem Schmerzensgeldanspruch führen. Den der Vortrag bzgl. der Sorgen, Ängste und des Gefühls eines Kontrollverlustes bleibt vollkommen unsubstantiiert. Auch fehlt hinreichender Vortrag zur Kausalität der behaupteten Datenschutzverstöße für die Schäden. Der Anspruch auf Schadensersatz gemäß Art. 82 Art. 1, 2 DSGVO resultiert nicht allein aus einem - mit dem Vorfall eines Datenmissbrauchs stets einhergehenden - Kontrollverlust. Erforderlich ist vielmehr ein konkreter, tatsächlicher und darüberhinausgehender Schaden. Die von der Klägerin vorgetragenen Sorgen und Ängste um ihre erhöhte Risikoanfälligkeit sind innere Vorgänge, die unter Heranziehung von Beweiszeichen objektiver Art näher darzulegen sind (vgl. LG Mainz GRUR-RS 2024, 42662 Rn. 28; OLG Hamm GRUR 2023, 1791). Alltägliche, negative Empfindungen allein begründen keinen ersatzfähigen (psychischen) Schaden. Der Vortrag der Klägerin, sie erhielte seit dem Vorfall vermehrt unerwünschte Anrufe, SMS sowie Spam-E-Mails, ist unschlüssig, da sie eine Betroffenheit dieser Datentypen bereits nicht hinreichend darlegt und derartige Kontaktversuche - wie allgemein bekannt - auch anlasslose, unregelmäßige Vorkommnisse des Alltags sein können. Es entspricht der allgemeinen Lebenswirklichkeit, dass man von derartigen Kontaktversuchen betroffen ist. Im Übrigen hat die Klägerin auch nicht vorgetragen, ihre E-Mail oder Telefonnummer in Reaktion hierauf ausgetauscht, oder ihr Verhalten im Internet anderweitig angepasst zu haben, was diese Vorfälle - als objektives Beweiszeichen - hätte plausibilisieren können.

In der Folge besteht auch kein Zinsanspruch.

Der Klageantrag zu 2) ist bereits unzulässig. Er ist weder hinreichend bestimmt noch besteht ein Feststellungsinteresse.

Ein Klageantrag ist i.S.v. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH, Urteil vom 9. März 2021 - VI ZR 73/20, VersR 2021, 795 Rn. 15). Dabei ist die Verwendung auslegungsbedürftiger Begriffe im Klageantrag zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungshandlung ausrichtet (BGH, Urteile vom 2. Juni 2022 - I ZR 140/15, BGHZ 234, 56 Rn. 26; vom 9. September 2021 - I ZR 113/20, GRUR 2021, 1425 Rn. 12 mwN). Bei einem - wie vorliegend - auf Vornahme einer Handlung gerichteten Antrag muss deren Art und Umfang bestimmt bezeichnet sein (Anders, in: Anders/Gehle, ZPO, 83. Aufl. 2025, § 253 Rn. 48).

Daran gemessen ist der Klageantrag zu 1) nicht hinreichend bestimmt. Die begehrte Feststellung bezieht sich auf die Verpflichtung, den „unbefugten Zugriff Dritter (…) zu verhindern“. Es ist jedoch auch unter Zugrundelegung des Vortrages der Klägerin nicht ersichtlich, in welchen Fällen konkret von einem unbefugten Zugriff durch Dritte auszugehen ist und welche Voraussetzungen eine „geeignete Datentransfer Software“ dementsprechend zu erfüllen hätte. Dies gilt insbesondere vor dem Hintergrund, dass die DSGVO ein risikobasiertes Maßnahmenkonzept vorschreibt und gerade nicht die Beseitigung jedweden Risikos von Verletzungen der personenbezogenen Daten verlangt (vgl. EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Der Klageantrag lässt sich damit nicht in einer Weise auslegen, dass die Klägerin eine nach Art und Umfang hinreichend bestimmte Handlung begehrt, was den Streit in unzulässiger Weise in die Zwangsvollstreckung verlagern würde (vgl. zum Begriff „unbefugter Dritter“ auch BGH, Urteil v. 18.11.2024 - VI ZR 10/24, GRUR 2024, 1910, Rn. 56, 58).

Überdies ist der Klageantrag zu 2) auch mangels Feststellungsinteresse i.S.d. § 256 Abs. 1 ZPO unzulässig. Ein Interesse an der Feststellung einer Ersatzpflicht für künftige Schäden rein materieller Art - wie sie die Klägerin vorliegend mit dem Antrag zu 2) geltend macht - hängt von der Wahrscheinlichkeit des ausstehenden Schadenseintritts ab (OLG Brandenburg BeckRS 2020, 42937 Rn. 3). Ist hingegen bei verständiger Würdigung des Einzelfalls nicht mit dem Eintritt eines künftigen Schadens zu rechnen, so ist bereits eine derartige Möglichkeit zu verneinen (OLG Hamm GRUR 2023, 1793, 1803 Rn. 192ff.). Die Klägerin hat vorliegend keine Umstände vorgetragen, die den Eintritt künftiger Schäden über eine bloß theoretische Befürchtung hinaus wahrscheinlich werden lassen. Die Sicherheitslücke konnte durch ein Herstellerupdate am 02.06.2023 behoben werden. Seit dem knapp 2 ½ Jahre zurückliegenden Vorfall vom 31.05.2023 hat die Klägerin keine materiellen Schäden erlitten. Dabei verringert sich eine solche Möglichkeit stetig mit fortschreitendem Zeitablauf (OLG Köln GruR-RS 2023, 36757 Rn. 54). Die pauschalen Ausführungen der Klägerin zu hypothetisch erhöhten Risiken - die sich teilweise auf Daten beziehen, die dem Angriff bereits nicht anheimfielen - ändern hieran nichts. Gegen die Annahme, dass die Klägerin selbst mit künftigen Vermögensschäden rechnet, spricht auch, dass die Klägerin nicht vorträgt, entsprechende Schutzvorkehrungen getroffen zu haben, etwa durch Änderung ihrer Rufnummer, E-Mail-Adresse oder Bankverbindung. Schließlich trägt die Klägerin selbst vor, zum jetzigen Zeitpunkt noch nicht absehen zu können, welche Folgen durch die entwendeten persönlichen Daten eintreten werden.

Den Volltext der Entscheidung finden Sie hier: