Kanzlei Dr. Bahr
Navigation
Kategorie: Datenschutzrecht

OLG Hamm: DSGVO-Schadensersatzanspruch kann abgetreten werden

DSGVO-Schadensersatzansprüche sind keine höchstpersönlichen Rechte und somit übertragbar.

Der Schadensersatzanspruch nach Art. 82 DSGVO ist übertragbar und kann somit an jemand Drittes übertragen werden (OLG Hamm, Urt. v. 24.07.2024 - Az.: 11 U 69/23).

Die Beklagte betrieb ein Impfzentrum, in dem personenbezogene Daten verarbeitet wurden. Aufgrund eines Fehlers wurden bei einer Terminänderung die E-Mail-Adressen und andere sensible Daten von zahlreichen Personen in einem ungeschützten Excel-Anhang verschickt. 

Die Klägerin sammelte die Ansprüche der Betroffenen und machte dann in 532 Fällen einen DSGVO-Schadensersatz nach Art. 82 DSGVO in Höhe von jeweils 800,- EUR geltend. Sie trug vor, dass die Ansprüche in allen Fällen an sie abgetreten worden seien.

Das OLG Hamm sprach der Klägerinn nur in zwei Fällen einen Schadensersatz iHv. jeweils 600,- EUR zu. In allen anderen Fällen wies es die Klage ab.

1. DSGVO-Anspruch übertragbar:
Es sei grundsätzlich möglich, das DSGVO-Schadensersatz-Begehren an Dritte zu übertragen, so die Richter:

"Die Zedenten K. und W. konnten ihre Ansprüche aus Art. 82 Abs. 1, 2 DSGVO auch wirksam an die Klägerin abtreten. Ein Verstoß gegen einen Abtretungsausschluss nach § 399 Var. 1 BGB, wonach insbesondere höchstpersönliche Ansprüche nicht abgetreten werden können, liegt nicht vor.

Zwar wird teilweise die Auffassung vertreten, dass es sich bei einem Anspruch aus Art. 82 Abs.1, 2 DSGVO um einen höchstpersönlichen Anspruch handelt, weil dort die Genugtuung sowie eine Kompensation mittels einer Entschädigung für die Persönlichkeitsrechtsverletzung im Vordergrund stehe, die nur gegenüber der betroffenen Person zur Linderung führen könne (…). 

Überwiegend wird dies jedoch abweichend beurteilt. So handele es sich bei Art 82 Abs. 1, 2 DSGVO um einen eigenständigen deliktischen Anspruch, der dem allgemeinen nationalen Haftungsregime des BGB unterliege, was auch für die Übertragbarkeit des Anspruchs gelte (…). Eine Persönlichkeitsverletzung sei gerade keine Anspruchsvoraussetzung. Art. 82 Abs. 1, 2 DSGVO diene auch der Vermeidung von zukünftigen Verstößen, sodass ihm ein spezialpräventiver Charakter und damit auch eine objektive Aufgabe zukomme. 

Zudem verfolge die DSGVO das Ziel, einen „vollständigen und wirksamen Schadensersatz“ zu gewährleisten, sodass auch die Notwendigkeit der tatsächlichen Durchsetzbarkeit dieses Anspruchs im Vordergrund stehe. Die Rechtsprechung des BGH zu schweren Persönlichkeitsverletzungen sei auf Art. 82 DSGVO nicht übertragbar (…).

Der Senat schließt sich im Ergebnis der letztgenannten Auffassung an. (…) Nach Auffassung des Senats handelt es sich bei Art. 82 Abs. 1, 2 DSGVO nicht um einen höchstpersönlichen Anspruch. Anspruchsvoraussetzung ist ein Datenschutzverstoß, durch den der Anspruchsteller persönlich betroffen sein muss. 

Anders als bei einer Verletzung des Allgemeinen Persönlichkeitsrecht steht hier nicht der Genugtuungsgedanke im Vordergrund, sondern es soll der aufgrund eines Verstoßes gegen die DSGVO entstandene Schaden vollständig und wirksam finanziell entschädigt werden, womit eine Ausgleichsfunktion verbunden ist (…). Darüber hinaus erfüllt Art. 82 DSGVO einen weiteren Normzweck, mit dem ihm eine spezial- und auch generalpräventive Aufgabe zukommt, indem er dazu beitragen soll, dass innerhalb der Union ein gleichmäßiges und hohes Schutzniveau von natürlichen Personen bei der Verarbeitung personenbezogener Daten gewährleistet (…)"

2. Beweislast für Abtretungen liegt beim Kläger:
Die Beweislast, dass die geltend gemachten Ansprüche auch tatsächlich abgetreten worden seien, liege beim Klägerin.

Im vorliegenden Fall sei die Klägerin dieser Beweislast - bis auf zwei Fälle - nicht nachgekommen:

"Der von der Klägerin unter Vorlage der schriftlichen Abtretungsverträge behauptete Abschluss von Abtretungsverträgen mit 532 Zedenten ist von ihr jedenfalls bzgl. der Zedenten K. und W. bewiesen worden. Die insoweit von dem Senat als Zeugen angehörten Zedenten haben jeweils glaubhaft bestätigt, dass die ihnen vorgehaltene Unterschrift unter den jeweiligen Abtretungsverträgen von ihnen stammt und sie die Abtretungsverträge abschließen wollten.

In Bezug auf die verbleibenden 530 Zedenten hat die Klägerin zunächst die Forderungen von sechs Zedenten (…) doppelt geltend gemacht und zudem Forderungen von 15 Zedenten (..) beansprucht, die nicht von dem Datenschutzverstoß betroffen waren. Darüber hinaus hat die Klägerin Forderungen von weiteren elf Zedenten geltend gemacht, die im Zeitpunkt des Abschlusses des Abtretungsvertrags noch minderjährig waren, ohne insoweit eine Einwilligung oder nachträgliche Genehmigung der Erklärung darzulegen, wobei hinsichtlich der als Zeugin vernommenen Zedentin (…) jedenfalls von einer konkludenten Genehmigung auszugehen ist. In einem weiteren Fall betreffend die Zedentin BC. hat die Klägerin den schriftlichen Abtretungsvertrag nicht vorgelegt.

Letztlich brauchte der Senat über die Frage des Abschlusses von Abtretungsverträgen nur bzgl. der Zedenten K. und W. zu entscheiden, weil die Klägerin hinsichtlich der weiteren Zedenten einen Schaden entweder nicht hinreichend substantiiert dargelegt oder nicht bewiesen hat."

Rechts-News durch­suchen

14. Oktober 2024
Die bloße Sorge vor einem möglichen Datenmissbrauch rechtfertigt keinen Schadensersatzanspruch nach der DSGVO.
ganzen Text lesen
14. Oktober 2024
Ein Deezer-Nutzer erhält 350,- EUR Schadensersatz für ein Datenleck, da Deezer gegen DSGVO-Vorschriften verstoßen hat, weil es keinen Vertrag zur…
ganzen Text lesen
07. Oktober 2024
Online-Plattformen (wie z.B. Facebook) dürfen nicht uneingeschränkt personenbezogene Daten zur zielgerichteten Werbung verwenden, auch wenn sensible…
ganzen Text lesen
04. Oktober 2024
Die Datenschutzkonferenz hat ihre Richtlinien zur Übertragung von Kundendaten bei Asset Deals überarbeitet und stiftet damit mehr Verwirrung als…
ganzen Text lesen

Rechts-News durchsuchen