Kein Schadensersatz wegen unerlaubter DSGVO-Verarbeitung
Leitsatz
1. Österreichische Post muss keinen Schadensersatz wegen unerlaubter DSGVO-Verarbeitung zahlen.
2. Bei einem Schadensersatzanspruch nach Art. 82 DSGVO muss der Kläger den Schadensnachweis voll erbringen.
Tenor
Das Oberlandesgericht Innsbruck als Berufungsgericht hat durch die Senatspräsidentin des Oberlandesgerichtes Dr. Braunias als Vorsitzende sowie die Richter des Oberlandesgerichtes Dr. Rath und Mag. Obrist als weitere Mitglieder des Senates in der Rechtssache der klagenden Partei (...) wider die beklagte Partei ÖSTERREICHISCHE POST AG, Rochusplatz 1, 1030 Wien, (...) wegen EUR 2.500,-- s.A., über die Berufungen der klagenden Partei (Berufungsinteresse EUR 1.700,- s.A.) und der beklagten Partei (Berufungsinteresse EUR 800,- s.A.) gegen das Urteil des Landesgerichtes Feldkirch vom 7.8.2019, 57 Cg 30/19b-15, in nichtöffentlicher Sitzung
I. beschlossen:
1. Die von der beklagten Partei überreichten Schriftsätze vom 29.1.2020 und 31.1.2020 samt den darin erfolgten Urkundenvorlagen (Urteil des Landesgerichtes Wels vom 27.12.2019; Urteil des Landgerichtes Karlsruhe vom 2.8.2019; Bescheid der Datenschutzbehörde vom 24.1.2020; E-Mail der Österreichischen Datenschutzbehörde vom 31.1.2020; E-Mail des Klägers vom 31.1.2020)werden zurückgewiesen.
2. Die Anträge der beklagten Partei auf Vorlage an den EuGH gemäß Art 89 B-VG und gemäß Art 267 AEUV werden zurückgewiesen.
II. zu Recht erkannt:
Der Berufung der klagenden Partei wird nicht Folge gegeben.
Der Berufung der beklagten Partei wird Folge gegeben.
Die angefochtene Entscheidung wird dahingehend abgeändert, dass sie wie folgt zu lauten hat:
„1. Das Klagebegehren des Inhalts, die beklagte Partei sei schuldig, der klagenden Partei zu Händen ihrer Vertreterin binnen 14 Tagen den Betrag von EUR 2.500,- samt 4 % Zinsen seit 2.3.2019 zu bezahlen, wird abgewiesen.
2. Die klagende Partei ist schuldig, der beklagten Partei zu Händen ihrer Vertreterin binnen 14 Tagen die mit EUR 1.380,46 (darin enthalten EUR 230,08 USt) bestimmten Kosten des Verfahrens erster Instanz zu ersetzen.“
Die klagende Partei ist schuldig, der beklagten Partei zu Händen ihrer Vertreterin binnen 14 Tagen die mit EUR 739,25 (darin enthalten EUR 99,21 USt und EUR 144,-- Barauslagen) bestimmten Kosten des Berufungsverfahrens zu ersetzen.
Die Revision ist jedenfalls unzulässig.
Entscheidungsgründe
Die Beklagte ist ein Logistik- und Postdienstleister. Sie verfügt seit 3.4.2001 über eine Gewerbeberechtigung als „Adressverlag und Direktmarketingunternehmen“ gemäß §151 GewO.
Seither betreibt sie im Zuge dieses Gewerbes einen Adressenhandel, wobei sie sowohl von ihr zugekaufte als auch selbst erhobene Zielgruppenadressen verkauft. Darüber hinaus speichert die Beklagte Daten von mehreren Millionen Menschen. Sie führte auch anonymisierte Meinungsumfragen durch. Sie hat dabei sozialdemographische Kriterien wie Geschlecht, Alter, Wohnort, Wohnart, formale Bildung, etc. sowie das Interesse an Wahlwerbung politischer Parteien bei Interviewpartnern anonym abgefragt. Anhand dieser Kriterien bildete die Beklagte Marketinggruppen, welche in der Regel pro Gruppe mehrere 100 Personen oder mehr, zumindest aber zehn Personen pro Gruppe, umfasste. Für diese Marketinggruppen errechnete die Beklagte in der Folge Durchschnittswahrscheinlichkeiten in Form von Prozentsätzen und entwickelte daraus einen Algorithmus unter anderem zur Berechnung, mit welcher Wahrscheinlichkeit Personen mit bestimmten sozialdemographischen Eigenschaften in bestimmten Regionen Werbeinteressen an bestimmten politischen Parteien (Parteiaffinitäten) haben könnten. Auf dieselbe Weise ermittelte die Beklagte Wahrscheinlichkeitswerte zu Bio-, Investment-, Spenden- und Distanzhandelaffinitäten sowie zu Lebensphasen von Marketinggruppen. Sie ordnete schließlich Einzelpersonen den Marketinggruppen und sohin den von ihr berechneten „Parteiaffinitäten“ und sonstigen Affinitäten aufgrund ihrer regionalen und sozial- demograpischen Merkmale zu.
Die Beklagte hat auch in Bezug auf den Kläger unter Heranziehung der vorbeschriebenen Marketinganalyseverfahren Parteiaffinitäten und sonstige Affinitäten ermittelt und diese in der Kategorie „Marketingdaten“ gespeichert. Diese Parteiaffinitäten und sonstigen Affinitäten des Klägers wurden von der Beklagten nicht an Dritte übermittelt. Dagegen hat die Beklagte jedoch Adressdaten des Klägers an Dritte weitergegeben.
Der Kläger begehrte mit der am 29.3.2019 beim Erstgericht eingebrachten Klage aus dem Titel des immateriellen Schadenersatzes EUR 2.500,-- s.A. und stützte sich dabei auf nachfolgende, seines Erachtens rechtswidrige Verhaltensweisen der Beklagten:
• Die Beklagte verarbeite Informationen über angebliche parteipolitische Präferenzen des Klägers, also Daten besonderer Kategorien: Dabei handle es sich um personenbezogene Daten, weil ein Personenbezug hergestellt worden sei.
- Die Beklagte verarbeite Daten des Klägers, insbesondere - über 15 Jahre alte und nicht mehr aktuelle - Wohnadressen sowie Einzelheiten zu zahlreichen in den letzten drei Jahren zugestellten Brief-und Paketsendungen. Die Richtigkeit und Aktualität der Adressdaten des Klägers sei seit Jahren nicht mehr überprüft worden, weshalb die Beklagte gegen den Grundsatz der Datenrichtigkeit verstoßen habe (Art 5 Abs 1 lit d DSGVO).
- Die Beklagte verstoße auch gegen den Grundsatz der Speicherbegrenzung, weil sie Personendaten über mehrere Jahre speichere, dies bis zum 90. Lebensjahr der jeweiligen Person, und sohin keine angemessene Speicherfrist vorsehe (Art 5 Abs 1 lit e DSGVO).
- Die Beklagte betreibe rechtswidriges Profiling, nämlich eine automatisierte Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte.
- Die Beklagte speichere die Daten in einer öffentlich zugänglichen Datenbank, womit sie die Daten des Klägers rechtsgrundlos öffentlich zugänglich gemacht habe. Der Kläger habe zu keinem Zeitpunkt seine Zustimmung oder Einwilligung zur Datenverarbeitung erteilt.
- Die Beklagte verletzte ihre Informationspflichten nach Art 14 DSGVO, da sie den Kläger nicht über die erfolgte Datenverarbeitung informiert habe. Das bloße Bereithalten von Informationen auf der Homepage der Beklagten sei nicht ausreichend.
- Die Beklagte sei ihrer Auskunftspflicht nach Art 12 Abs 3, Art 4 7.1 DSGVO, verspätet und nur unvollständig nachgekommen.
Dem Kläger sei durch die rechtswidrige Verarbeitung und Übermittlung bzw. Veröffentlichung der ihn betreffenden personenbezogenen Daten ein immaterieller Schaden zumindest in Höhe der Klagssumme entstanden. Dieser Schaden bestehe im Ungemach, das durch den rechtswidrigen und geradezu sorglosen Umgang der
Beklagten mit den personenbezogenen und teilweise sensiblen Daten des Klägers, nämlich den Informationen über seine vermeintliche Affinität zu bestimmten politischen Parteien, ausgelöst worden sei. Der Kläger sei insbesondere daran gehindert worden, seine Daten zu kontrollieren. Er habe unwiederbringlich die Kontrolle über die ihn betreffenden personenbezogenen Daten verloren.
Die Beklagte beantragte Klagsabweisung. Es liege kein ersatzfähiger Schaden vor. Es fehle darüber hinaus an einer kausalen Verursachung eines Schadens sowie an einem rechtswidrigen und schuldhaften Verhalten der Beklagten. Das Klagebegehren sei unsubstantiiert und unschlüssig. Das Verletzten datenschutzrechtlicher Bestimmungen stelle per se keinen Schaden dar. Beeinträchtigungen müsse ein gewisses Gewicht zukommen, damit überhaupt von einem immateriellen Schaden gesprochen werden könne. Eine anonymisiert erhobene, generelle und wahrscheinlichkeitsbezogene Durchschnittsaussage erfülle nicht die Kriterien von personenbezogenen Daten. Die Beklagte habe inzwischen überdies den Datensatz des Klägers gesperrt, sodass Daten des Klägers seitdem nicht mehr für Marketingzwecke verarbeitet werden könnten. Die Speicherung früherer Wohnadressen sei erforderlich, um es Unternehmen ohne langwierige und teure Nachforschungen zu ermöglichen, mit verzogenen Kunden in Kontakt zu bleiben. Schließlich sei die Rechtsausübung des Klägers missbräuchlich, da er einen Kontrollverlust behaupte, ohne seine Rechte (Widerspruch gegen die Verarbeitung, Einschränkung der Verarbeitung, Löschung der Daten) ausgeübt zu haben.
Das Erstgericht verpflichtet mit dem angefochtenen Urteil die Beklagte zur Zahlung eines Schadenersatzes von EUR 800,-- s.A.. Das Mehrbegehren auf Zahlung von EUR 1.700,-- s.A. wurde dagegen abgewiesen.
Es legte seiner Entscheidung die auf Seiten 7 bis 21 des Urteiles (AS 125- 139) getroffenen Feststellungen zugrunde, auf die zur Vermeidung von Wiederholungen verwiesen werden kann. Davon werden - neben dem eingangs dargelegten Sachverhalt - zum besseren Verständnis der Berufungsentscheidung nachfolgende Sachverhaltsfeststellungen wiedergegeben:
Der Kläger hat bei der Beklagten anlässlich eines Umzugs im Jahr 2012 einen Nachsendeauftrag einrichten lassen.
Die Beklagte bietet Unternehmen das sogenannte „ADRESS-CHECK-Service“ an. Dieses ermöglicht Unternehmen, ihre Kundendaten mit den von der Beklagten gespeicherten Umzugsdaten abzugleichen und dadurch die neue Adresse verzogener Kunden zu erfahren. So können Unternehmen mit ihren verzogenen Kunden ohne langwierige und teure Nachforschungen in Kontakt bleiben. (...) Um bei möglichst vielen Unternehmen die neue Adresse bekannt geben zu können und nicht zustellbare Sendungen zu vermeiden, speichert die Beklagte frühere Wohnadressen von Personen, die der Datenverwendung für Marketingzwecke Dritter nicht widersprochen haben, über mehrere Jahre.
Die beklagte Partei speichert nachstehende Adressdaten des Klägers, welche sie auch an Dritte weitergegeben hat:
(...)
An einer der vorgenannten früheren Adressen des Klägers wohnt dieser schon seit fast 15 Jahren nicht mehr.
Der Kläger versendet und empfängt über das Post- und Paketzustellservice der Beklagten Sendungen jeglicher Art. Im Zusammenhang mit ihrem Zustellservice ist die Beklagte regelmäßig mit Anfragen von Kunden oder sonstigen Personen betreffend die Nachvollziehbarkeit vergangener Sendungen konfrontiert. Sendungsinformationen (Paketlogistik) speichert die Beklagte bis zu drei Jahre. Betreffend den Kläger speichert die Beklagte „Paketlogistikdaten“ zu 118 Sendungen aus dem Zeitraum Oktober 2016 bis November 2018 mit Sendungsnummer, Transportzeitraum, Empfänger und Absender.
Die Beklagte betreibt auch ein Online-Service, bei welchem sich der Kläger am 13.6.2011 (...) registriert hat. Mithilfe dieses Service kann etwa der Sendeverlauf eines Pakets verfolgt oder eine Zustelloption geändert werden.
Mit Einschreiben vom 19.7.2018 richtete der Kläger ein Auskunftsersuchen an die Beklagte (...), ob und wenn ja, welche ihn betreffenden personenbezogenen Daten von der Beklagten verarbeitet werden. Zugleich ersuchte er um Bekanntgabe, zu welchen Verarbeitungszwecken und auf Basis welcher Rechtsgrundlagen die Verarbeitung stattfindet, gegenüber welchen Empfängern Offenlegungen erfolgten und erfolgen, sowie, wie es sich mit der Speicherdauer und der Herkunft der Daten verhält. (...)
Da die Beklagte auf dieses Auskunftsersuchen des Klägers zunächst nicht reagierte, brachte er am 3.9.2018 bei der Datenschutzbehörde eine Beschwerde gegen die Beklagte wegen Nichterteilung der Auskunft ein.
(...)
Am 3.10.2018 übermittelte die Beklagte dem Kläger unter Bezugnahme auf sein Auskunftsersuchen eine Auskunft, in welcher sie ihn unter anderem darüber informierte, dass sie zusammengefasst ihn betreffende Daten insbesondere für Logistik (Zustellung von Sendungen wie Briefen und Paketen), Marketingzwecke und den von ihr betriebenen Adressverlag verarbeitet. Die Auskunft enthielt den Hinweis, dass der Kläger unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung sowie die Löschung seiner personenbezogenen Daten verlangen oder Widerspruch gegen die Verarbeitung einlegen kann. Unter einem übermittelte die
Beklagte ein Datenblatt betreffend die von ihr über den Kläger gespeicherten „Marketingdaten" mit zwei Datensätzen, ein Datenblatt mit einem von ihr gespeicherten Datensatz „ProfileAddress" des Klägers, ein Datenblatt mit von ihr gespeicherten „Personen-Adressdaten" (Brieflogistik) des Klägers mit vier Datensätzen und ein Datenblatt mit von ihr gespeicherten „Online-Service Stammdaten" des Klägers. Weiters gab die Beklagte dem Kläger bekannt, dass sie ihn betreffende Umzugsinformationen, nämlich Anrede, Titel, Vorname, Nachname, Geburtsdatum, alte und neue Adresse sowie das Datum des Umzugs, an sieben in der Auskunft näher bezeichnete Unternehmen übermittelt hat. Die Beklagte wies den Kläger damit im Zusammenhang darauf hin, dass für den Fall, dass er der weiteren Verwendung der Daten zu Marketingzwecken widerspricht, diese Unternehmen von der Beklagten überden Widerruf informiert werden. (...)
(...)
Anlässlich der Registrierung des Klägers beim Online-Service der Beklagten übermittelte diese ihm am 13.6.2011 per E-Mail einen PIN und informiert ihn zugleich auszugsweise wie folgt:
(...)
Mit Schreiben vom 25.7.2013 setzte die Beklagte den Kläger in Kenntnis, dass der Nachsendeauftrag wegen Umzugs in zwei Wochen endet.
Weitere Informationen über eine Datenverarbeitung der Beklagten über die über sein Auskunftsersuchen feststellungsgemäß erteilten Informationen sowie die in den vorangeführten Schreiben enthaltenen Informationen hat der Kläger von der Beklagten zu keinem Zeitpunkt erhalten.
Der Kläger hat zu keinem Zeitpunkt gegenüber der Beklagten eine ausdrückliche Einwilligung zur Verarbeitung ihn betreffender Daten erteilt, insbesondere nicht hinsichtlich besonderer Kategorien personenbezogener Daten im Sinne des Art 9 DSGVO.
Von seinem Recht auf Widerspruch sowie von seinem Recht auf Löschung hat der Kläger gegenüber der Beklagten nicht Gebrauch gemacht.
(...)
Nach Erhalt der Information der Beklagten, dass diese den Kläger betreffende Umzugsinformationen an sieben Unternehmen übermittelt hat, wandte sich der Kläger jeweils mit einem Auskunftsersuchen an all diese Unternehmen. Die Auskunftserlangung bei diesen Unternehmen gestaltet sich schwierig. Bislang hat der Kläger als Reaktion auf seine Ersuchen (...) lediglich von einem dieser Unternehmen eine Auskunft erhalten. Aus dieser Auskunft geht hervor, dass dieses Unternehmen seine Daten wiederum an zwei weitere Unternehmen weitergeleitet hat.
Durch die Datenverarbeitungen der Beklagten und deren Verhalten im Zusammenhang mit seinem Auskunftsersuchen erachtet sich der Kläger in seinem Grundrecht auf Datenschutz verletzt. Insbesondere stört ihn die Speicherung der Parteiaffinitäten. Eine gesundheitliche Beeinträchtigung hat der Klägerin diesem Zusammenhang nicht erlitten. Auch sein berufliches Fortkommen wurde nicht beeinträchtigt.
Die Beklagte hat nach Klagseinbringung den von ihr gespeicherten Datensatz des Klägers gesperrt, sodass die Daten des Klägers von der Beklagten seither nicht mehr für Marketingzwecke verwendet werden.
(...)
In rechtlicher Hinsicht ging das Erstgericht davon aus, dass es sich bei den von der Beklagten mittels Marketinganalyseverfahren ermittelten Affinitäten aufgrund der Tatsache, dass diese in weiterer Folge dem Kläger als Individuum zugeschrieben worden seien, um „besondere Kategorien personenbezogener Daten“ im Sinne des Art 9 Abs 1 DSGVO handle. Mit diesen Daten würden politische Meinungen abgebildet. Da der Kläger dazu keine Einwilligung erteilt habe, stellte dies eine erhebliche Verletzung der DSGVO dar, welche den Kläger in seinem Grundrecht auf Datenschutz und seinen damit einhergehenden Freiheiten in störender Weise beeinträchtigt habe. Die DSGVO normiere keine Erheblichkeitsschwelle für den Ersatz des immateriellen Schadens. In Anbetracht der Tatsache, dass es sich einerseits bei der politischen Meinung einer Person um besonders schützenswerte und sensible Daten handle, andererseits die von der Beklagten gespeicherten Parteiaffinitäten des Klägers aber nicht an Dritte übermittelt worden seien, erscheine ein immaterieller Schadenersatz in Höhe von EUR 800,-- zur Abgeltung des vom Kläger erlittenen Ungemachs als angemessen. Mit seinen weiteren Anspruchsgründen sei der Kläger hingegen als nicht erfolgreich anzusehen. Daraus sei auch kein (sonstiger) relevanter immaterieller Schaden abzuleiten. Das Mehrbegehren des Klägers sei daher abzuweisen.
Gegen dieses Urteil richten sich die Berufungen der Parteien.
Der Kläger bekämpft den klagsabweisenden Teil des Urteils und beantragt die Abänderung der Entscheidung im Sinne einer vollinhaltlichen Klagsstattgebung.
Die Beklagte wendet sich gegen den klagsstattgebenden Teil. Sie strebt ebenso die Abänderung des angefochtenen Urteiles an, dies jedoch im Sinne einer gänzlichen Klagsabweisung. Hilfsweise wird von ihr ein Aufhebungsantrag gestellt.
Die Parteien beantragen in ihren Berufungsbeantwortungen, dem jeweils gegnerischen Rechtsmittel einen Erfolg zu versagen.
I.
1. Nach Vorlage des Aktes an das Rechtsmittelgericht langten zwei als „Urkundenvorlage“ bezeichnete Schriftsätze der Beklagten vom 29.1.2020 und 31.1.2020 beim Rechtsmittelgericht ein. Mit diesen Schriftsätzen legte die Beklagte mehrere Urkunden, nämlich eine Ausfertigung eines Urteiles des Landesgerichtes Wels vom 27.12.2019, einen Auszug eines Urteiles des Landgerichtes Karlsruhe vom 2.8.2019, einen Bescheid der Österreichischen Datenschutzbehörde vom 24.1.2020, eine E-Mail der Österreichischen Datenschutzbehörde vom 31.1.2020 und eine E-Mail des Klägers vom 31.1.2020 vor und führte zu diesen Urkunden auch inhaltlich aus.
Diese Eingaben sind unzulässig.
a) Jeder Partei steht nur eine einzige Rechtsmittelschrift oder Rechtsmittelgegenschrift zu. Weitere Rechtsmittelschriften, Nachträge und Ergänzungen sind auch dann unzulässig, wenn sie innerhalb der gesetzlichen Frist eingebracht werden (RIS- Justiz RS0041666).
b) Die erstmalige Vorlage von Urkunden im Berufungsverfahren verstößt überdies gegen das im Berufungsverfahren geltende Neuerungsverbot. Nach § 482 Abs 2 ZPO dürfen Tatumstände und Beweise, sohin auch Urkunden, die nach dem Inhalt des Urteiles und der Prozessakten in erster Instanz nicht vorgekommen sind, von den Parteien im Berufungsverfahren nur zur Dartuung oder Widerlegung der geltend gemachten Berufungsgründe vorgebracht werden (RIS-Justiz RS0041812, RS0041965). (Zulässige) Neuerungen können nur zur Dartuung oder Widerlegung der Berufungsgründe der Nichtigkeit oder der Mangelhaftigkeit des Verfahrens vorgebracht werden, nicht aber zur Unterstützung oder Bekämpfung anderer Berufungsgründe (RIS-Justiz RS0041812). Diese Voraussetzung liegt hier nicht vor, weil von der Beklagten nur eine Rechtsrüge ausgeführt wurde.
Die mit den genannten Eingaben erfolgten Urkundenvorlagen waren daher zurückzuweisen.
2. Die Beklagte stellte in ihrer Berufung den Antrag, dem EuGH im Wege eines Vorlageantrages gemäß Art 267 AEUV verschiedene Fragen vorzulegen. Einer Prozesspartei steht allerdings ein verfahrensrechtlicher Anspruch darauf, die Einleitung eines Vorabentscheidungsverfahrens vor dem EuGH zu beantragen, nicht zu. Ein solcher (gesetzlich) nicht vorgesehener Antrag ist daher zurückzuweisen (RIS- Justiz RS0058452).
II.
Die Berufung des Klägers ist nicht berechtigt. Hingegen kommt der Berufung der Beklagten Berechtigung zu.
Der Kläger führt in seiner ausschließlich geltend gemachten Rechtsrüge im Wesentlichen aus, dass das Erstgericht nicht alle sich aus dem festgestellten Sachverhalt ergebenden Schadenskomponenten berücksichtigt habe und aufgrund einer unrichtigen rechtlichen Beurteilung davon ausgegangen sei, dass einige der von der Beklagten zu verantwortenden Verstöße gegen die DSGVO nicht zu einem Anspruch auf Schadenersatz führen würden. Gerade ein Kontrollverlust werde in den Erwägungsgründen zur DSGVO und auch in der Literatur als ersatzfähiger immaterieller Schaden anerkannt. Dadurch, dass die Beklagte ihrer Informationspflicht gemäß Art 14 DSGVO nicht nachgekommen sei, habe sie dem Kläger überdies die Möglichkeit genommen, bereits zu einem wesentlich früheren Zeitpunkt die ihm zustehenden Rechte geltend zu machen. Deshalb sei der Zeitraum, in dem der Kläger nichts von der rechtswidrigen Verarbeitung seiner personenbezogenen Daten durch die Beklagte gewusst habe, wesentlich verlängert worden. Schließlich werde der Tatbestand des „Profiling“ im Erwägungsgrund 75 zur DSGVO genannt, weshalb rechtswidriges Profiling ebenfalls zu einem immateriellen Schaden führe. Ein wichtiges Kriterium für die Bemessung der Höhe immaterieller Schadenersatzansprüche sei auch die Dauer der Verstöße. Dazu habe das Erstgericht aber wesentliche Feststellungen nicht getroffen, was als sekundäre Mangelhaftigkeit des Verfahrens gerügt werde.
Die Beklagte führt in ihrer Berufung ebenfalls nur den Rechtsmittelgrund der unrichtigen rechtlichen Beurteilung aus. Sie erblickt eine fehlerhafte Beurteilung des Sachverhaltes durch das Erstgericht darin, dass im gegebenen Fall keine Verarbeitung sensibler Daten seitens der Beklagten vorliege. In der vorgenommenen statistischen Einordnung von anonym gewonnenen Daten sei weder eine unmittelbare noch eine mittelbare Aussage über die konkrete politische Meinung des Klägers zu erkennen. Überdies liege ein ersatzfähiger immaterieller Schaden beim Kläger nicht vor. Das Erstgericht habe lediglich feststellen können, dass den Kläger die Speicherung der Parteiaffinitäten „gestört“ habe. Das Erstgericht habe unzulässig eine (vermeintliche) Rechtsverletzung per se mit einem ersatzfähigen immateriellen Schaden gleichgesetzt. Der Erwägungsgrund 75 der DSGVO enthalte nur eine demonstrative Aufzählung von Umständen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnten. Der Kläger habe es jedoch unterlassen, den Eintritt eines von ihm erlittenen Schadens ausreichend zu behaupten und zu beweisen. Ein immaterieller Schaden liege nur dann vor, wenn er über den an sich durch die Rechtsverletzung hervorgerufenen Ärger bzw. Gefühlsschaden hinausgehe. Im Übrigen habe das Erstgericht den Schaden auch unzutreffend ausgemessen. Als sekundäre Mangelhaftigkeit werde geltend gemacht, dass das Erstgericht keinerlei Feststellungen zum Verschulden der Beklagten getroffen habe.
Hiezu hat das Berufungsgericht erwogen:
1. Der Kläger wirft der Beklagten eine seit Jahren andauernde Verletzung seiner Datenschutzrechte vor und begehrt daraus einen immateriellen Schadenersatz gemäß Art 82 DSGVO.
Nach Art 99 Abs 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO) gilt diese Verordnung ab dem 25.5.2018. Für Österreich bestimmt §69 Abs 5 Datenschutzgesetz (DSG) idF des Datenschutz-Anpassungsgesetzes 2018 (BGBl I 2017/120), dass Verletzungen des Datenschutzgesetzes 2000, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes (das war am 25.5.2018; § 70 Abs 1 leg cit) noch nicht anhängig gemacht wurden, nach der Rechtslage nach Inkrafttreten dieses Bundesgesetzes zu beurteilen sind. Ein strafbarer Tatbestand, der vor dem Inkrafttreten dieses Bundesgesetzes verwirklicht wurde, ist nach jener Rechtslage zu beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger ist; dies gilt auch für das Rechtsmittelverfahren.
Dies bedeutet, dass sowohl die DSGVO als auch das DSG idF des Datenschutz- Anpassungsgesetzes 2018 zur Beurteilung der Berechtigung des vom Kläger geltend gemachten Schadenersatzanspruches zur Anwendung zu gelangen haben. Den Erläuterungen zum Datenschutz-Anpassungsgesetz 2018 ist dazu nichts Weiterführendes zu entnehmen (vgl 6 Ob 217/19h).
2. § 29 Abs 1 DSG lautet:
„Jede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen § 1 oder Art 2 1. Hauptstück ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter nach Art 82 DSGVO. Im Einzelnen gelten für diesen Schadenersatzanspruch die allgemeinen Bestimmungen des bürgerlichen Rechts.“
Die Passivlegitimation der Beklagten als für eine Datenschutzverletzung Verantworliche oder als Auftragsverarbeiterin ist seitens der Beklagten hier nicht in Frage gestellt worden.
3. Um den betroffenen Personen umfassenden Schutz zu gewährleisten, ist in Art 82 DSGVO eine eigenständige Haftungsbestimmung für die Verletzung des Schutzes von personenbezogenen Daten vorgesehen, die einen unmittelbaren deliktischen Anspruch auf Schadenersatz begründet. Art 82 DSGVO (iVm § 29 Abs 1 DSG) stellt somit eine eigenständige deliktische Haftungsnorm dar, die es ermöglicht, dass die betroffenen Personen ohne direkte Rechtsbeziehung zum Schädiger von diesem einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Die Haftung für den Ersatz des erlittenen Schadens ist eine angemessene Sanktion bzw. Konsequenz bei normwidrigem Verhalten und soll auch aus general- und spezialpräventiven Gründen die Einhaltung der Normen sicherstellen. Werden die Bestimmungen der DSGVO und/oder der delegierten Rechtsakte verletzt, dann schuldet derjenige, der sich über die Bestimmungen hinwegsetzt, dem Verletzten Schadenersatz nach den allgemeinen Bestimmungen des bürgerlichen Rechts. Die innerstaatlichen schadenersatzrechtlichen Regelungen ergänzen daher die Haftung für Schadenersatz nach der DSGVO (§ 29 Abs 1 Satz 2 DSG), sodass diese für die allgemeinen Anspruchsvoraussetzungen maßgeblich sind, sofern die DSGVO keine Sonderregelung beinhaltet (Schweiger in Knyrim, DatKomm, Art 82 DSGVO, Rz 1 und 2).
Art 82 Abs 1 DSGVO bestimmt, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat.
Im ErwGr 146 der DSGVO wird dazu ausgeführt, dass der Verantwortliche oder der Auftragsverarbeiter Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang stehen, ersetzen sollte. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.
Demnach ist der Ersatz ideeller Schäden bereits in der DSGVO grundsätzlich angeordnet. Ideelle Schäden werden nach der DGSVO (aber auch nur) dann ersetzt, wenn ideelle Schäden eingetreten sind (vgl. dazu jüngst Spitzer, Schadenersatz bei Datenschutzverletzungen, ÖJZ 2019/76, 635).
4 Die haftungsbegründenden Voraussetzungen sind bei einem deliktischen Schadenersatzanspruch vom Anspruchsteller, sohin vom Kläger, zu behaupten und zu beweisen. Dazu gehören der Eintritt eines (materiellen oder immateriellen) Schadens, der Normverstoß, d.h. die (objektive) Rechtswidrigkeit durch den Schädiger sowie die (Mit-)Ursächlichkeit des Verhaltens des Schädigers am eingetretenen Schaden im Sinne einer adäquaten Kausalität. Dies bedeutet, dass sich durch das Inkrafttreten der DSGVO und der novellierten Bestimmungen des DSG 2000 (mit 25.5.2018) nichts an der Behauptungs- und Beweislast für das Vorliegen eines Schadens und für die Kausalität geändert hat (6 Ob 217/19h; Schweiger aaO, Art 82 DSGVO, Rz 92
5. Wie im Folgenden darzulegen sein wird, hat der Kläger im erstinstanzlichen Verfahren einen bei ihm aus den behaupteten Rechtsverletzungen der Beklagten entstandenen immateriellen Schaden weder ausreichend behauptet noch nachgewiesen.
5.1 Nach § 1293 ABGB bedeutet Schaden jeder Nachteil, welcher jemandem an Vermögen, Rechten oder seiner Person zugefügt worden ist. Von einem „Nachteil an einer Person“ spricht man, wenn Persönlichkeitsrechte verletzt werden. Diese haben keinen Vermögenswert, es entstehen daher nur immaterielle Schäden. Immaterielle Schäden zeigen sich als eine negative Gefühlsbeeinträchtigung. Zu den schützenswerten Persönlichkeitsrechten eines jeden Menschen wird als Ausfluss des Rechts auf Wahrung der Geheimsphäre auch das Datenschutzrecht gezählt (Kerschbaumer- Gugu, Schadenersatz bei Datenschutzverletzungen [2019], S 60 f, mwN
5.2 Nach ErwGr 146 Satz 3 der DSGVO sollte der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs der Europäischen Union weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Aus Art 1 DSGVO ergibt sich ein Doppelziel der Verordnung. Zum einen sollen natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten geschützt werden und zum anderen soll der freie Verkehr eben dieser Daten in der Union sichergestellt werden (Kerschbaumer-Gugu aaO, S 61 ff).
Der ErwGr 146 verweist im zitierten dritten Satz auch auf die Auslegung im Lichte der Rechtsprechung des EuGH. Der Gerichtshof der Europäischen Union hat auf die Bedeutung eines hohen europäischen Datenschutzniveaus verwiesen. Um die Durchsetzung desselben zu sichern, kommt dabei dem vom EuGH entwickelten „Effektivitätsgrundsatz“ eine zentrale Rolle zu. Nationalstaatliches Recht darf die Erlangung von unionsrechtlich zugesicherten Ansprüchen daher nicht unmöglich machen oder übermäßig erschweren. Sind Entschädigungszahlungen bei Verstößen gegen das Unionsrecht vorgesehen, müssen diese, um eine wirksame (effektive) Durchsetzung des Unionsrechts zu gewährleisten, über einen symbolischen Wert hinausgehen und eine wirklich abschreckende Wirkung haben. Die Bedeutung von wirksamen, verhältnismäßigen und abschreckenden Sanktionen hebt der EuGH auch in Urteilen betreffend die Höhe von Geldbußen besonders hervor (Kerschbaumer- Gugu aaO, S 65 f, mwN). Der OGH hat jüngst ausgeführt, dass das Unionsrecht zur Beweislast für den Schaden keinerlei Bestimmungen enthält, sodass diesbezüglich die innerstaatlichen Vorschriften zur Anwendung kommen. Die Beweislast für das Vorliegen und die Höhe des Schadens liegt daher beim Kläger. Gemäß dem Effektivitätsprinzip darf das nationale Beweisrecht dabei nur keine unüberbrückbaren Hürden für die Geltendmachung des Anspruches vorsehen (6 Ob 217/19h mwN).
5.3 In der Rechtsprechung der Unionsgerichte hat sich als Voraussetzung für einen ersetzbaren Schaden etabliert, dass dieser „tatsächlich“ und „sicher“ eingetreten sein muss. Damit sollen rein hypothetische und unbestimmte Schäden ausgeschlossen werden. Das Erfordernis eines tatsächlich erlittenen Schadens schließt auch den Zuspruch von symbolischem Schadenersatz aus. Aus diesem Grund ist für einen Zuspruch von immateriellem Schadenersatz zu fordern, dass eine tatsächliche Beeinträchtigung in der Gefühlswelt des Geschädigten eingetreten ist (Kerschbaumer- Gugu aaO, S 71, mwN).
Im Fall des Datenschutzes ist das geschützte Rechtsgut der Schutz der personenbezogenen Daten vor Verlust der Vertraulichkeit und Integrität (vgl. Art 5 Abs 1 lit f DSGVO). Bei immateriellen Schäden handelt es sich daher um nicht in Geld messbare Schäden, welche durch Persönlichkeitsbeeinträchtigungen eintreten. In ErwGr 75 der DSGVO werden einige Umstände angesprochen, die einen Schaden für die betroffenen Personen darstellen können, wie Diskriminierung, Identitätsdiebstahl, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugte Aufhebung der Pseudonymisierung, andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile (Schweiger aaO, Art 82 DSGVO, Rz 14 f).
Demnach sollen negative Beeinträchtigungen der Gefühlswelt durch einen immateriellen Schadenersatz ausgeglichen werden. Der EuGH sieht physische und mentale Leiden als derartige Beeinträchtigungen an (etwa EuGH 3.2.1994, C-308/87 [Grifoni/Europäische Atomgemeinschaff\). Zu solchen Schäden kann es nach der Rechtsprechung des EuGH beispielsweise kommen, wenn jemand einem Zustand der Angst ausgesetzt ist, das Ansehen, die Würde oder die Ehre verletzt werden, die Integrität einer Person in Zweifel gestellt wird, Schmerzen erlitten werden, familiäre und soziale Beziehungen beeinträchtigt werden, man einen Schock erleidet oder man frustriert, unzufrieden oder unsicher ist. Die ErwGr 75 und 85 der DSGVO nennen nur - die bereits zitierten - Beispiele, aus denen insbesondere immaterielle Schäden resultieren können. Das bedeutet, dass aus diesen Umständen immaterielle Schäden beim konkreten Geschädigten abgeleitet werden können. Dies ändert jedoch nichts daran, dass der jeweilige Kläger den immateriellen Schaden darzulegen bzw. konkret zu behaupten und zu beweisen hat. Der immaterielle Schaden muss auch tatsächlich erlitten worden sein. Wenngleich zwar jeder Datenschutzverstoß zumindest kurzzeitig negative Gedanken bei der betroffenen Person hervorruft, kann daraus aber nicht der Schluss gezogen werden, dass automatisch mit jedem DSGVO-Verstoß ein immaterieller Schaden einhergeht. In der früheren höchstgerichtlichen Rechtsprechung des OGH wurde ausgesprochen, dass der bloße Umstand einer Verletzung des Datenschutzgesetzes für sich allein noch keinen Nachteil darstellt, der als ideeller Schaden bezeichnet werden könnte (1 Ob 318/01 y; Kerschbaumer-Gugu aaO, S 75 f; Schweiger aaO, Art 82 DSGVO, Rz 26)
5.4 Ein Datenschutzverstoß muss jedenfalls in die Gefühlssphäre des Geschädigten eingreifen, damit von einem wegen eines Verstoßes gegen die DSGVO entstandenen immateriellen Schaden (Art 82 Abs 1 DSGVO) gesprochen werden kann. Entsprechend dem Verständnis der Unionsgerichte, vor allem auch im Hinblick auf den Effektivitätsgrundsatz, wird zwar ein besonders schwerer Eingriff in das Datenschutzrecht als Voraussetzung für den Ersatz immaterieller Schäden nicht mehr zu fordern sein. Die Schwere und Intensität der Beeinträchtigung werden bei der Bemessung des Schadenersatzes eine zentrale Rolle spielen, jedoch wird nach herrschender Auffassung und auch nach Auffassung des Berufungssenates ein Mindestmaß an persönlicher Beeinträchtigung für das Vorliegen eines immateriellen Schadens zu fordern sein (Kerschbaumer-Gugu aaO, S 77; Schweiger aaO, Art 82 DSGVO, Rz 24 ff; vgl. auch 6 Ob 217/19h).
5.5 Wenngleich es daher nach dem eindeutigen Wortlaut des Art 82 DSGVO zwar keiner schweren Verletzung des Persönlichkeitsrechtes bedarf, um einen immateriellen Schaden geltend machen zu können, ist die Annahme, dass jeder Verstoß gegen die DSGVO allein aus generalpräventiven Gründen zu einer Ausgleichspflicht führt, unzutreffend. Der Verpflichtung zum Ausgleich eines immateriellen Schadens muss nämlich eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die beispielsweise in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann. Die Rechtsverletzung per se stellt aber keinen immateriellen Schaden dar, sondern es muss eine Konsequenz oder Folge der Rechtsverletzung gegeben sein, die als immaterieller Schaden qualifiziert werden kann und die über den an sich durch die Rechtsverletzung hervorgerufenen Ärger bzw. Gefühlsschaden hinausgeht. Der Geschädigte muss daher einen solchen Nachteil erlitten haben, dem infolge der Beeinträchtigung der Interessen ein Gewicht zukommen muss. Nicht schon jeder, allein durch die Verletzung an sich hervorgerufene Ärger oder sonstige Gefühlsschaden ist auszugleichen, sondern nur ein darüber hinausgehendes besonderes immaterielles Interesse (vgl. Koziol, Haftpflichtrecht II2, 231). Der rechtswidrige Zustand, der die aus der Verletzung der DSGVO betroffene Person beeinträchtigt, ohne eine Erheblichkeitsschwelle zu überschreiten, ist nämlich nicht sanktionslos. Es besteht für den Geschädigten insoweit ein gerichtlich durchsetzbarer Unterlassungsund Beseitigungsanspruch (Schweiger aaO, Art 82 DSGVO, Rz 29).
5.6 Von Schweiger (in Knyrim, aaO, Art 82 DSGVO, Rz 24) wird die Meinung vertreten, dass die Regelung des Art 82 DSGVO aufgrund ihrer Intention des Schutzes von natürlichen Personen und deren Interessen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten mit der Regelung in der Pauschalreise- Richtlinie vergleichbar ist. Dieser Auffassung schließt sich auch das Berufungsgericht an. Die Judikatur zur Pauschalreise-RL kann aufgrund der Vergleichbarkeit des Schutzzwecks sowie der Tatsache, dass von beiden Regelungsbereichen Personen in deren persönlichen Lebensbereichen betroffen sind, als Anhaltspunkt für die Festlegung einer möglichen Untergrenze des ersatzfähigen Schadens herangezogen werden. Zwar gewährt Art 5 der Pauschalreise-RL grundsätzlich Anspruch auf Ersatz des immateriellen Schadens, der auf der Nichterfüllung oder einer mangelhaften Erfüllung der eine Pauschalreise ausmachenden Leistungen beruht. Es hat aber nicht jeder Reisemangel, der schon zu berechtigten gewährleistungsrechtlichen Ansprüchen (etwa einer Preisminderung) führt, zur Folge, dass auch ein immaterieller Schadenersatz wegen entgangener Urlaubsfreude - allein per se wegen des Reisemangels - zuzuerkennen ist (vgl. 3 Ob 220/06h; 5 Ob 242/04f). Zur Bejahung eines immateriellen Schadenersatzes in jenem Rechtsbereich wird das Erfordernis einer „nennenswerten Beeinträchtigung“ genannt (10 Ob 20/05x).
Dies bedeutet, dass unerhebliche Beeinträchtigungen zwar nicht sanktionslos bleiben - auch bezüglich der vom Kläger behaupteten Verletzungen seiner Rechte nach der DSGVO besteht ein gerichtlich durchsetzbarer Unterlassungs- und Beseitigungsanspruch doch führen diese nicht per se bereits zu einer Verpflichtung zum Ersatz des immateriellen Schadens.
5.7 Selbst wenn daher eine schwere Verletzung des Persönlichkeitsrechtes für den Anspruch auf Ersatz des immateriellen Schadens im Sinne des Art 82 DSGVO nicht generell zu fordern ist, muss dennoch ein objektiviertes Verständnis der persönlichen Beeinträchtigung maßgeblich sein. Das Gericht hat einzelfallbezogen zu beurteilen, ob durch die DSGVO-Verletzung eine durchschnittlich im Datenschutz sensibilisierte Maßfigur solch negative Gefühle entwickeln würde, die über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird (Kersch bau mer-Gugu aaO, S 78, mwN).
6. Wendet man nun diese Rechtslage auf den vorliegenden Fall an, so scheitert der vom Kläger verfolgte Anspruch auf Ersatz eines immateriellen Schadens schon mangels ausreichender Prozessbehauptungen.
6.1 Der Kläger hat dazu lediglich vorgetragen, dass durch die rechtswidrige Verarbeitung und Übermittlung bzw. Veröffentlichung der ihn betreffenden personen- bezogenen Daten ein immaterieller Schaden zumindest in Höhe der Klagssumme entstanden sei. Später ergänzte er dazu, dass sein (immaterieller) Schaden im Ungemach bestehe, das durch den rechtswidrigen und geradezu sorglosen Umgang der Beklagten mit seinen personenbezogenen und teilweise sensiblen Daten, nämlich Informationen über seine vermeintliche Affinität zu bestimmten politischen Parteien, ausgelöst worden sei. Im Übrigen verwies der Kläger in seinem Vorbringen wiederum auf die der Beklagten im Einzelnen vorgeworfenen Verstöße sowie auf Literatur und Judikatur, ohne die konkrete Beeinträchtigung in seiner Person auch nur annähernd zu beschreiben. Welche erheblichen negativen Gefühle entwickelt wurden, wurde seitens des Klägers nicht behauptet.
6.2 Die Beklagte hat bereits in ihrem ersten Schriftsatz auf die Unsubstantiiertheit und Unschlüssigkeit in Bezug auf die erforderlichen Elemente eines Schadenersatzanspruches hingewiesen und wiederholt ausgeführt, dass das erforderliche Tatbestandselement eines ersatzfähigen Schadens nicht ausreichend behauptet worden sei. Das Erstgericht hat im Rahmen der vorbereitenden Tagsatzung das Sach- und Rechtsvorbringen ausdrücklich mit dem Hinweis darauf erörtert, dass ein (immaterieller) Schaden konkret zu behaupten ist und dass es nicht ausreicht, nur abstrakt darzulegen, worin Verstöße gelegen sein sollen.
6.3 Der Kläger hat zu den vermeintlichen konkreten Auswirkungen im weiteren Verfahren auf die ErwGr 75 und 85 der DSGVO verwiesen und in Bezug auf die konkreten Auswirkungen in seiner Person nur vorgebracht, dass er gehindert gewesen sei, die ihn betreffenden personenbezogenen Daten zu kontrollieren, und dass er unwiederbringlich die Kontrolle über die ihn betreffenden personenbezogenen Daten verloren habe.
Richtig ist, dass ErwGr 75 und 85 DSGVO Beispiele nennen, aus denen insbesondere immaterielle Schäden resultieren können; darunter wird auch der Verlust der Kontrolle über personenbezogene Daten angeführt. Wie konkret sich dieser Verlust der personenbezogenen Daten auf die Persönlichkeit und auf das Leben des Klägers ausgewirkt hat, wurde trotz der mehrfachen Einwendungen der Beklagten und der Erörterung durch das Erstgericht seitens des Klägers nicht vorgetragen. Angesichts von Einwendungen des Prozessgegners hat eine Prozesspartei ihren Standpunkt selbst zu überprüfen und die erforderlichen Konsequenzen zu ziehen (RIS-Justiz RS0122365).
6.4 Der Kläger hat zwar in seinem Prozessvorbringen umfassend die der Beklagten vorgeworfenen Verstöße gegen die DSGVO dargestellt, jedoch ein Vorbringen zu den konkreten Auswirkungen auf seine Persönlichkeit unterlassen. Das haftungsbegründende Tatbestandsmerkmal des Eintritts eines immateriellen Schadens beim Kläger wurde daher nicht einmal ausreichend behauptet.
7. Das Erstgericht hat ausgehend von den unvollständig gebliebenen Prozessbehauptungen des Klägers zu einem Schaden nur konstatiert, dass sich der Kläger durch die Datenverarbeitungen der Beklagten und deren Verhalten im Zusammenhang mit seinem Auskunftsersuchen in seinem Grundrecht auf Datenschutz verletzt erachtet und dass ihn die Speicherung der Parteiaffinitäten „stört“. Eine gesundheitliche Beeinträchtigung hat der Kläger in diesem Zusammenhang nicht erlitten. Auch sein berufliches Fortkommen wurde nicht beeinträchtigt (US 20).
Unter Berücksichtigung dieser Konstatierungen ist nicht davon auszugehen, dass der Kläger eine Persönlichkeitsbeeinträchtigung erlitten hat, die einem Zustand entspricht, bei dem eine durchschnittlich im Datenschutz sensibilisierte Maßfigur solch negative Gefühle entwickelt, die über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird.
Ein immaterieller Schaden des Klägers ist daher auch nicht nachgewiesen worden.
8. Auf die Frage, ob die sonstigen haftungsbegründenden Voraussetzungen eines Anspruches auf Schadenersatz nach Art 82 DSGVO vorliegen, muss schon mangels ausreichender Behauptungen und Nachweises eines immateriellen Schadens nicht mehr eingegangen werden. Auf die von beiden Berufungswerbern in diesem Zusammenhang gerügten sekundären Feststellungsmängel kommt es daher ebenfalls nicht an. Da vom Kläger die konkreten Auswirkungen der behaupteten Verstöße auf seine Persönlichkeit nicht ausreichend dargelegt wurden, ist es nicht von Bedeutung, über welchen Zeitraum die von ihm ins Treffen geführten Verstöße gegen die DSGVO seitens der Beklagten erfolgten. Genauso wenig ist es von Bedeutung, ob das Ergebnis der freien Schadensfestsetzung gemäß § 273 ZPO durch das Erstgericht richtig erfolgt ist.
Der in der Rechtsrüge - in Bezug auf eine vom Erstgericht unterlassene Zeugenvernehmung - geltend gemachte Berufungsgrund der Mangelhaftigkeit des Verfahrens ist gemäß § 501 ZPO unzulässig.
9. Zusammenfassend ergibt sich daher:
Das aus dem nationalen Schadenersatzrecht abzuleitende Erfordernis, den in der konkreten Person „erlittenen Schaden“ ausreichend und nicht nur in Form der verba legalia („immaterieller Schaden“) oder sonst nur allgemein gehalten („Ungemach“, „Ungewissheit', „Nachteil') zu behaupten, stellt keine unüberbrückbare Hürde für die Geltendmachung eines Anspruches nach Art 82 Abs 1 DSGVO dar. Das Tatbestandsmerkmal des erlittenen Schadens ist nicht mit einer Rechtsverletzung der DSGVO als solcher gleichzusetzen.
Der Kläger ist im gegebenen Fall der ihm obliegenden Behauptungspflicht, konkret darzulegen, welcher erhebliche Nachteil in seinem Gefühlsleben durch die behaupteten Verstöße der DSGVO entstanden ist und welche Persönlichkeitsbeeinträchtigung daraus resultiert, nicht nachgekommen.
10. Der Rechtsrüge und damit der Berufung des Klägers war nicht zu folgen. Hingegen sind die Ausführungen der Berufung der Beklagten im Hinblick auf den Umstand, dass ein ersatzfähiger immaterieller Schaden nicht ausreichend behauptet und bewiesen wurde, berechtigt.
In Stattgebung der Berufung der Beklagten war daher das angefochtene Urteil dahingehend abzuändern, dass das Klagebegehren abzuweisen war
11. Verfahrens rechtliches
11.1 Die Abänderung des angefochtenen Urteiles bedingt eine neuerliche Entscheidung über die Kosten des erstinstanzlichen Verfahrens. Diese stützt sich auf §§ 41, 54 Abs 1a ZPO.
Das Berufungsgericht erachtet die vom Erstgericht vorgenommenen Korrekturen des Kostenverzeichnisses der Beklagten als berechtigt. Daher waren der Beklagten Kosten für den Schriftsatz vom 5.7.2019 und eine Entschädigung für die Zeitversäumnis sowie die Fahrtkosten für die Tagsatzung nicht zuzuerkennen. Als offenkundige Unrichtigkeit war aufzugreifen, dass es sich beim Einspruch der Beklagten (ON 3) nicht um den verfahrenseinleitenden Schriftsatz handelt, weshalb für die Einbringung des Einspruchs im elektronischen Rechtsverkehr gemäß § 23a RATG lediglich eine Erhöhung der Entlohnung von EUR 2,10 (und nicht von EUR 4,10) zusteht. Es errechnen sich daher der Beklagten zu ersetzenden Kosten des erstinstanzlichen Verfahrens von EUR 1.380,46.
11.2 Die Entscheidung über die Kosten des Berufungsverfahrens stützt sich auf §§ 50, 41 Abs 1 ZPO. Die Beklagte war sowohl mit ihrer eigenen Berufung als auch in Bezug auf die Rechtsmittelgegenschrift zur Berufung des Klägers zur Gänze erfolgreich. Die Beklagte hat die eigenen Berufungskosten richtig verzeichnet. Bei den Kosten ihrer Berufungsbeantwortung war aber insoweit eine Korrektur vorzunehmen, als angesichts des Streitwertes nicht der dreifache Einheitssatz, sondern nur ein einfacher Einheitssatz zusteht (§23 Abs 10 RATG). Es errechnen sich daher der Beklagten zu ersetzende Kosten für das Berufungsverfahren von insgesamt EUR 739,25.
11.3 Der Ausspruch über die Unzulässigkeit der Revision stützt sich auf § 502 Abs 2 ZPO.