Der Auskunftsanspruch aus Art. 15 DSGVO kann an keine andere Person abgetreten werden, da es sich um ein höchstpersönliches Recht handelt (KG Berlin, Urt. v. 22.11.2023 - Az.: 28 U 5/23).
Klägerin war ein Legal Tech-Unternehmen, das sich die Ansprüche des Betroffenen hatte an sich abtreten lassen. Es ging einmal um einen Auskunftsanspruch nach Art. 15 DSGVO und einmal um ein Schadensersatzbegehren nach Art. 82 DSGVO.
Das KG Berlin wies die Klage insgesamt ab.
1. Anspruch auf Auskunft nach Art. 15 DSGVO:
Dieses Begehren sei bereits deshalb unbegründet, weil das klägerische Legal Tech Auskunft an sich selbst begehre:
"Der Auskunftsanspruch der Klägerin ist bereits deshalb zurückzuweisen, weil die Klägerin Auskunft an sich verlangt.
Denn der Anspruch auf Auskunft nach Art. 15 DSGVO ist nicht abtretbar.
Dritte, wie hier die Klägerin können nur mit Geltendmachung des Anspruches beauftragt werden, so dass sie prozessual ein fremdes Recht im eigenen Namen geltend machen. Dies muss sich auch im Klageantrag widerspiegeln, sodass die Klägerin hier Auskunft an die Zedenten hätte verlangen müssen. Allein dies rechtfertigt bereits insoweit die Abweisung der Klage."
2. Anspruch auf Schadensersatz nach Art. 82 DSGVO:
Das KG Berlin wies die Klage ab, weil die Gläubigerin nicht bewiesen hatte, worin der konkrete Schaden liege.
Es gebe zwar keine Erheblichkeitsschwelle, so die Richter.
"Einem Schadensersatzanspruch nach Art. 82 DSGVO steht – ergänzend zu den richtigen Ausführungen des Landgerichts – auch entgegen, dass die Klägerin – trotz des konkreten Hinweises des Senats mit der Bestimmung des Berufungstermins – nicht in konkret-individueller Weise vorgetragen hat, wann, wie häufig und auf welchem Weg die hiesige Zedenten konkret von Missbrauchsversuchen betroffen war und vor allem wie sie darauf jeweils reagiert haben oder wie sie unabhängig von diesen Versuchen allein durch die Veröffentlichung des Leak-Datensatzes betroffen waren.
Dabei gilt: Der Begriff des „Schadens“ ist autonom und unionsrechtlich einheitlich zu definieren.
Der Wortlaut des Art. 82 DSGVO spricht nur von materiellem und immateriellem Schaden, ohne eine Erheblichkeitsschwelle zu erwähnen. Das Ziel der DSGVO, einen umfassenden Schutz der Datenschutzgrundrechte auf einem gleichmäßigen und hohen Niveau zu gewährleisten, erfordert ein weites Begriffsverständnis und schließt eine Erheblichkeitsschwelle aus."
Gleichwohl müsse der jeweilige Kläger eine tatsächliche Benachteiligung erlitten habe:
"Gleichwohl muss die betroffene Person die für sie negativen Folgen eines DSGVO-Verstoßes aber nachweisen. Deshalb bedarf es der Darlegung eines konkreten (tatsächlichen) immateriellen Schadens, der über den durch die unrechtmäßige Datenverarbeitung ohnehin eingetretenen Kontrollverlust hinausgeht und der vom Betroffenen individuell darzulegen ist.
Einen solchen konkret individuellen Vortrag kann dem Vorbringen der Klägerin nicht entnommen werden. Ihr Vortrag erschöpft sich in allgemeinen Darstellungen der Folgen der Offenbarung von personenbezogenen Daten.
Dies reicht mit Blick auf den hiesigen Sachverhalt nicht aus, um schlüssig zum (immateriellen) Schaden der Zedenten vorzutragen."