Seite drucken Entscheidung als PDF runterladen
Zu Schadensersatzansprüchen aus einer rechtswidrigen Verarbeitung personenbezogener Daten beim Betrieb eines Impfzentrums, die nach Abtretung seitens der Betroffenen von einem gewerblichen Unternehmen verfolgt werden
Auf die Berufung der Klägerin wird das am 25. Mai 2023 verkündete Urteil der 1. Zivilkammer des Landgerichts Essen (Az. 1 O 275/21) abgeändert.
Die Beklagte wird verurteilt, an die Klägerin 600,00 Euro nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 8. März 2022 zu zahlen.
Im Übrigen bleibt die Klage abgewiesen.
Die weitergehende Berufung wird zurückgewiesen.
Die Kosten des gesamten Rechtsstreits trägt die Klägerin.
Das Urteil ist vorläufig vollstreckbar. Dem jeweiligen Vollstreckungsschuldner wird gestattet, die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des auf Grund des Urteils zu vollstreckenden Betrags abzuwenden, wenn nicht der jeweilige Vollstreckungsgläubiger vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrags leistet.
Für die Beklagte wird die Revision zugelassen.
Gründe:
2I.
3Die Klägerin – die ihren Sitz in der KE. hat und in Deutschland weder als Inkassodienstleisterin registriert ist, noch über eine anderweitige Rechtsdienstleistungserlaubnis verfügt – verlangt von der Beklagten immateriellen Schadensersatz aufgrund eines Verstoßes gegen den Datenschutz, insbesondere gegen Vorschriften der VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - Datenschutz-Grundverordnung - (im Folgenden: DSGVO).
4Die Beklagte betrieb im Jahr 2021 ein Impfzentrum in C., in dem Impfungen gegen das Coronavirus SARS-CoV-2 durchgeführt wurden. Dort war eine aus Mitarbeitern der Beklagten bestehende sog. „Koordinierende Einheit“ mit der Terminverwaltung betraut.
5Mit den jeweiligen Mitgliedern dieser „Koordinierenden Einheit“ fand täglich eine Besprechung statt, in der jeweils auf die besondere Sensibilität der personenbezogenen Daten der zu impfenden Personen hingewiesen wurde. Die Mitarbeiter der „Koordinierenden Einheit“ waren angehalten, die Daten nicht mit Dritten zu teilen. Es sollten nur die für festgelegte, eindeutige und legitime Zwecke im Zusammenhang mit der Organisation des Impfzentrums (insbesondere die Absprache und Koordination von Impfterminen) erforderlichen Daten verarbeitet werden.
6Hinsichtlich der Nutzung von E-Mails bestand die Anweisung, dass diese unter Wahrung des „Vier-Augen-Prinzips“ erstellt, kontrolliert und versendet werden sollten. Insbesondere das Einfügen der E-Mail-Adressen hatte unter Wahrung dieses Prinzips zu erfolgen, und im Rahmen der anschließenden Kontrollen waren sowohl der Textinhalt als auch die ausgewählten Adressaten vor dem Versand von mindestens zwei Mitarbeitern zu überprüfen. Zur Verhinderung der Offenlegung sämtlicher E-Mail-Adressen an alle Adressaten war die bcc-Funktion zu verwenden.
7Ferner bestand in sämtlichen Fachbereichen der Beklagten die Anweisung, einer zu adressierenden Person keine persönlichen Daten Dritter offenzulegen, wenn dazu keine rechtliche Legitimation besteht. In Ziffer 5.2.2 der Dienst- und Geschäftsordnung für die Beklagte (DiGO) ist bestimmt:
8"Denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren."
9Aufgrund einer Änderung der Öffnungszeiten des Impfungszentrums war es erforderlich geworden, die Termine von 1.200 Bürgerinnen und Bürgern zu verschieben, worüber diese von der „Koordinierenden Einheit“ – die an diesem Tag aus acht Personen bestand – am 00.00.2021 mittels einer E-Mail informiert werden sollten.
10Die Daten der zu impfenden Personen und deren Termine wurden in einem von der Kassenärztlichen Vereinigung P. eingerichteten und betriebenen Portal vorgehalten. Die für das Impfzentrum tätigen Mitarbeiter der Beklagten konnten mittels Benutzername und Passwort auf dieses Portal zugreifen, Terminbuchungen einsehen und als Excel-Tabellen exportieren. Da ein Versand von E-Mails aus dem Portal für sie technisch nicht möglich war, mussten zur Information über die geänderten Öffnungszeiten zunächst drei Excel-Tabellen – sortiert nach jeweiligem Impfstoff – mit den Daten der von der Terminverlegung betroffenen Personen von einem Mitarbeiter der Beklagten aus dem Portal exportiert und auf einem Rechner der Beklagten gespeichert werden. Sodann waren die von den geänderten Öffnungszeiten betroffenen Personen herauszufiltern und deren E-Mail-Adressen herauszukopieren.
11Nach Einfügen des Informationstextes in die E-Mail und der E-Mail-Adressen in das bcc-Feld sollte der Versand der E-Mail aus dem Sammelpostfach (..) erfolgen, schlug jedoch aus nicht bekannten Gründen fehl. Daher wurde die vorbereitete E-Mail von zwei mit der Bearbeitung befassten Mitarbeitern mitsamt den Excel-Listen als Anhang an die dienstliche E-Mail-Adresse eines anderen Mitarbeiters der „Koordinierenden Einheit“ versandt, um den Versand von dessen dienstlichem Rechner durchzuführen. Nach erneutem Einfügen der E-Mail-Adressen, die den angehängten Excel-Dateien entnommen wurden, in das bcc-Feld konnte der Versand der E-Mail nunmehr von dem anderen Rechner erfolgreich angestoßen werden. Da allerdings vor dem Absenden der Anhang – die drei Excel-Tabellen – nicht entfernt worden waren, wurden auch die nicht durch ein Passwort, Pseudonymisierung oder Verschlüsselung vor einem einfachen Zugriff geschützten Excel-Dateien als Anhang an die 1200 Empfänger versandt. Unmittelbar nach Versand der E-Mail – gegen 11 Uhr – wurde der Fehler bemerkt und die versandte E-Mail zurückgerufen, was in bis zu circa 500 Fällen erfolgreich war.
12Die Excel-Dateien enthielten personenbezogene Daten von rund 13.000 Personen, die einen Termin zur Durchführung einer Impfung im von der Beklagten betriebenen Impfzentrum gebucht hatten. Neben Vor- und Nachnamen, Anschrift und Geburtsdatum waren Angaben zum vorgesehenen Impfstoff und zur Frage enthalten, ob es sich um die erste oder zweite Impfung handelte. Soweit die Personen bei der Terminbuchung auch eine Telefonnummer und/oder eine E-Mail-Adresse angegeben hatten, waren auch diese Daten in der Datei enthalten.
13Noch am 00.00.2021 rief die Beklagte die Empfänger des übersandten Anhangs auf, diese Daten unverzüglich zu löschen und informierte per Pressemitteilung die Öffentlichkeit über den Vorfall. Ferner meldete die Beklagte den Vorfall der zuständigen Aufsichtsbehörde und informierte Betroffene, die auf der Excel-Liste standen und eine E-Mail-Adresse hinterlegt hatten - insgesamt ca. 9.200 Personen - per E-Mail über den Vorfall, bat um Entschuldigung und klärte über das weitere Vorgehen auf. Unter dem 00. August 2021 informierte sie die Betroffenen schriftlich über den Vorgang sowie die konkret weitergegebenen Daten und sprach erneut eine Entschuldigung aus. Zu den Folgen teilte die Beklagte mit, dass nach „Einschätzung des Datenschutzes" ein geringes Risiko für einen möglichen Missbrauch der Daten bestehe. Ferner unterrichtete die Beklagte unter anderem über die von ihr zur Vermeidung künftiger Vorfälle ergriffenen Maßnahmen, wozu unter anderem die standardmäßige Sicherung von Excel-Tabellen per Kennwort vor einfachen Zugriffen gehöre.
14Nach dem Vorfall erhielten zahlreiche Betroffene eine E-Mail der sog. „Europäischen Zentrale für Verbraucherschutz“, die u.a. eine Möglichkeit zur Überprüfung, ob die eigenen Daten von dem streitgegenständlichen Vorfall betroffen waren, anbot. Zudem bestand für die Adressaten die Möglichkeit, sich durch das Klicken auf einen in der E-Mail enthaltenen Link unmittelbar auf eine Internetseite der G. GmbH weiterleiten zu lassen, auf der die Geltendmachung von Schadensersatzansprüchen infolge des Vorfalls mittels einer Sofortentschädigung gegen Abtretung der Schadensersatzansprüche gegen die Beklagte an die Klägerin vermittelt wurde. Auch die H.-Redaktion berichtete im Internet über den Vorfall und veröffentlichte ein Lichtbild einer unkenntlich gemachten Excel-Datei.
15In dem Zeitraum August/September 2021 fertigte die Klägerin zahlreiche inhaltlich gleichlautende Abtretungsverträge, wegen deren Inhalt auf Bl. 102 ff. LG-Akte Bezug genommen wird. Ferner machte sie mit Schreiben vom 28. September 2021 und 21. Oktober 2021 unter Beifügung sämtlicher Abtretungsverträge gegenüber der Beklagten Auskunftsansprüche nach Art. 15 DSGVO über die vom Datenschutzverstoß jeweils im Einzelnen betroffenen personenbezogenen Daten sowie Schadensersatz geltend, wobei die Klägerin im ersten Schreiben einen Pauschalbetrag in Höhe von 500,00 Euro und im zweiten Schreiben in Höhe von 692,00 Euro für jeden Zedenten geltend machte. Die Beklagte wies mit anwaltlichen Schreiben vom 22. Oktober 2021 und 4. November 2021 sowohl die Erteilung der Auskunft als auch Schadensersatzansprüche, u.a. mit Hinweis auf eine mangelnde Vollmacht der Klägerin, zurück.
16In dem Rechtsstreit macht die Klägerin Schadensersatzansprüche aufgrund des Vorfalls vom 00.00.2021 von insgesamt 532 Zedenten geltend.
17Die Klägerin hat behauptet, sie habe mit den 532 Zedenten die als Anlage zur Klageschrift eingereichten Abtretungsverträge geschlossen, insbesondere seien die auf den Abtretungsverträgen ersichtlichen Unterschriften der Zedenten tatsächlich durch diese geleistet worden.
18Der Anspruch auf Ersatz der erlittenen immateriellen Schäden infolge eines Datenschutzverstoßes sei abtretbar, da es sich nicht um höchstpersönliche Ansprüche handele. Zudem liege kein Verstoß gegen das Rechtsdienstleistungsgesetz (RDG) vor. Das Auskunftsersuchen stelle keine Rechtsdienstleistung dar und bei der Geltendmachung der Schadensersatzansprüche handele es sich um Factoring, bei dem nach der Rechtsprechung des BGH das RDG keine Anwendung finde.
19Anlässlich der Abtretung ihrer Ansprüche hätten sich die Zedenten auch nicht in einer Zwangslage befunden, die von ihr ausgenutzt worden sei. Zudem sei sie auch nicht durch unlautere Werbe-E-Mails an die Forderungen gelangt. Sie selbst habe die Betroffenen nicht per E-Mail angeschrieben und verfüge auch nicht über die Excel-Dateien. Sie sei mit der Europäischen Zentrale für Verbraucherschutz weder identisch noch sonst verbunden. Aus dem Umstand, dass die Beteiligten X. und Z. sich kennen, könne weder auf eine persönliche Verbindung noch auf ein kollusives Zusammenwirken geschlossen werden. Ein etwaiges wettbewerbswidriges Verhalten aufgrund eines Zusammenspiels mit Herrn Z. zur Anwerbung potentieller Kunden mittels verdeckter Werbemails könne jedenfalls nicht die Unwirksamkeit der Abtretungen begründen.
20In Bezug auf den Datenschutzverstoß hat sie behauptet, dass sich in den Excel-Tabellen neben den unstreitig vorhandenen Daten auch die E-Mail-Adressen und Telefonnummern aller Zedenten befunden hätten.
21Sie hat die Auffassung vertreten, wegen der Überschneidung mit der ärztlichen Tätigkeit, die mit dem Betrieb eines Impfzentrums einhergehe, habe sich die Beklagte vorliegend auch an die ärztlichen Datenschutzvorschriften halten müssen, sodass Terminänderungen wegen der Verarbeitung von Gesundheitsdaten überhaupt nicht, jedenfalls nicht mit ungesicherten Anlagen, unverschlüsselt per E-Mail hätten versendet werden dürfen.
22Der Datenschutzverstoß resultiere aus dem Fehlen einer internen strukturellen Anweisung, mithin einem Verbot des Versendens generell, aber insbesondere mit ungesicherten Anlagen. Die Beklagte hätte ein generelles Verbot des Versandes von Anhängen mit Gesundheitsdaten aussprechen und technische Möglichkeiten vorhalten müssen, um so insbesondere Anhänge zu verschlüsseln, was dem allgemeinen Standard entspreche. Die Dateien hätten, etwa als ZIP- Datei, vor dem Versand verschlüsselt und gesichert werden müssen.
23Sie hat behauptet, dass durch den Datenschutzverstoß sämtlichen Zedenten ein immaterieller Schaden entstanden sei. So hätten alle Zedenten die vollständige Kontrolle über ihre (Gesundheits-) Daten verloren und nicht mehr die Möglichkeit, die Weiterverbreitung zu verhindern. Der Kontrollverlust ansich begründe nach der Rechtsprechung des EuGH bereits einen immateriellen Schaden. Besonders schwerwiegend sei, dass der H.-Redaktion der gesamte Datensatz vorliege. Sämtliche Zedenten seien durch die Weitergabe der Daten öffentlich bloßgestellt worden. Sie hätten sich gezwungen gefühlt, ihre persönlichen Daten im Rahmen der Impfterminvergabe zu offenbaren, aber nicht gewollt, dass ihre Gesundheitsdaten offengelegt werden. Aus diesem Grund seien sie bis heute auch persönlich verärgert, verängstigt und betroffen über die Offenlegung. Der Datenschutzverstoß sei für sie zudem mit emotionalem Stress verbunden, insbesondere weil sie ständig mit der Angst leben müssten, dass die personenbezogenen Daten in vielfacher Art und Weise gegen ihren Willen und mit einem hohen Risiko für ihre persönliche wie auch finanzielle Lage missbraucht werden könnten. Dies habe sich auch schon dahingehend bestätigt, dass Internetkriminelle die Daten - insbesondere die Telefonnummern - bereits für vielfache Betrugsversuche verwendet hätten. Die Liste sei inzwischen auch im Darknet zu finden. Diese Besorgnis bestimme auch das aktuelle Handeln der Betroffenen. Nicht zuletzt würden auch die aufgrund des Datenschutzverstoßes unbedingt notwendigen Sicherungsmaßnahmen eine starke psychologische wie tatsächliche Belastung für die Betroffenen darstellen.
24Ferner sei zu berücksichtigen, dass infolge der Vielzahl der betroffenen Daten und der Identifizierbarkeit aufgrund eines Datenbündels ein hohes Risiko für die Betroffenen bestehe, dass ihre Daten rechtsmissbräuchlich verwendet werden. Infolge der Identifizierbarkeit der jeweiligen Betroffenen bestünde etwa eine von Impfgegnern ausgehende Gefahr sowie die Möglichkeit weiterer Beeinträchtigungen infolge der (kriminellen) Nutzung dieser Daten.
25Darüber hinaus komme bei der Berechnung der Schadenshöhe erschwerend hinzu, dass die Beklagte durch Löschung der Datei die Geltendmachung der Ansprüche aktiv erschwert habe. Weiter sei zu berücksichtigen, dass infolge der verweigerten Auskunft nach Art. 15 DSGVO ein gesonderter Schadensersatzanspruch bestehe.
26In Bezug auf 34 Zedenten hat die Klägerin konkret objektive Beeinträchtigungen sowie persönlich empfundene bzw. psychologische Beeinträchtigungen behauptet. Insoweit wird auf S. 11 bis 19 des Schriftsatzes vom 15. März 2023 Bezug genommen (Bl. 1261 – 1269 LG-Akte).
27Der immaterielle Schaden sei für jeden Zedenten mit jeweils mindestens 800,00 Euro angemessen zu beziffern. Wegen der Berechnung der Klägerin wird auf Seite 55 ff. der Klageschrift (Bl. 55 – 63 LG-Akte) Bezug genommen.
28Mit der der Beklagten am 7. März 2022 zugestellten Klage hat die Klägerin beantragt,
29die Beklagte zu verurteilen, an sie einen in das Ermessen des Gerichts gestellten Schadensersatz in noch zu bestimmender Höhe, aber mindestens 800,00 Euro pro in der Anlage K 1 genannten 532 Betroffenen nebst Zinsen in Höhe von 9 Prozentpunkten über dem jeweiligen Basiszinssatz auf den jeweils zuerkannten Betrag ab Rechtshängigkeit zu zahlen.
30Die Beklagte hat beantragt,
31die Klage abzuweisen.
32Sie hat mit Nichtwissen bestritten, dass die von der Klägerin genannten Zedenten die Abtretung erklärt haben und die Abtretungen durch die Klägerin angenommen worden seien. Außerdem hat sie die Echtheit der Unterschriften auf den jeweiligen Abtretungsverträgen mit Nichtwissen bestritten.
33Sie hat ferner die Auffassung vertreten, dass die datenschutzrechtlichen Ansprüche höchstpersönlich und deshalb nicht abtretbar seien. Jedenfalls seien die Abtretungsverträge aufgrund eines Verstoßes gegen ein gesetzliches Verbot in Form von § 3 RDG nichtig, da die Klägerin durch die Bevollmächtigung zur Geltendmachung von Auskunftsansprüchen ohne eine entsprechende Erlaubnis Rechtsdienstleistungen erbringe. Da der Schadensersatzanspruch und die Bevollmächtigung zur Geltendmachung des Auskunftsanspruchs ein einheitliches Rechtsgeschäft darstellen würden, seien die Verträge insgesamt nichtig.
34Sie hat gemeint, der Forderungskauf sei zudem sittenwidrig, weil, die Zedenten lediglich einen Bruchteil der geltend gemachten Forderungen – insoweit hat sie einen Kaufpreis von je 31,59 Euro behauptet – erhalten hätten.
35Ferner habe die Klägerin die Forderungen unter sittenwidrigen Umständen erlangt. Sie habe sich die abhandengekommenen Daten illegal verschafft und zur Anwerbung der Betroffenen – u.a. durch ein rechtswidriges Werbemailing und Einspeisen in ihre eigene Webseite unter dem Tarnnamen der sog. Europäischen Zentrale für Verbraucherschutz – selbst unlauter ausgenutzt. Das kollusive Zusammenwirken im Zusammenhang mit dem Versand des Massen-Werbemailings sei datenschutz- und wettbewerbswidrig. Die Klägerin stehe selbst hinter den an die Betroffenen versandten Werbe-Mails im Namen einer sog. Europäischen Zentrale für Verbraucherschutz, die eigentlich gar nicht existiere, sondern lediglich von Herrn Z., der mit der Klägerin eng verflochten sei, zum unlauteren Werbemailing eingerichtet worden sei. Herr Z. sei der Vorstandsvorsitzende dieser Organisation und mit Herrn X., dem Geschäftsführer der G.-Gruppe, bestens persönlich bekannt, u.a. aufgrund gemeinsamer Veröffentlichungstätigkeit. Die Registrierung der Domain sei ebenfalls von einer mit der Klägerin verknüpften Person, nämlich dem Präsidenten des Verwaltungsrates der Klägerin und Gesellschafter der G. GmbH, Herrn R., registriert worden. Soweit in der Werbemail auf die „G. GmbH“ zwecks Sofortentschädigung verwiesen worden sei, handele es dabei um eine geschäftliche Bezeichnung, unter der die Klägerin auch auftrete.
36Ferner habe die Klägerin durch die dargestellte Vorgehensweise treuwidrig und rechtsmissbräuchlich gehandelt, so dass die Abtretungen auch deshalb nichtig seien.
37Die Beklagte hat die Auffassung vertreten, die für Ärzte geltenden datenschutzrechtlichen Pflichten würden für sie nicht gelten, da sie ausschließlich für die äußeren organisatorischen Vorkehrungen des Impfzentrums zuständig gewesen sei, während die Durchführung der Impfungen gemäß dem „Erlass zur Impfung der Bevölkerung gegen Covid-19" dem Land Q. und der KV P. oblegen habe.
38Sie hat behauptet, ausreichende und angemessene technische und organisatorische Maßnahmen und Anweisungen für die Sicherheit der Daten getroffen zu haben. Eine Ausweitung der getroffenen Maßnahmen hätte den Vorfall nicht verhindern können. Insbesondere ein Passwortschutz oder die Pseudonymisierung der versehentlich versendeten Excel-Tabellen sei nicht zweckmäßig gewesen. Die Speicherung von Daten sei nur ausnahmsweise und nur an einem Speicherort, der dem Zugriff von anderen Personen außer der Koordinierenden Einheit, und auch nur auf verschlüsselten und passwortgeschützten USB-Sticks oder verschlüsselten und passwortgeschützten Computern zulässig gewesen. Es sei aber vorliegend nicht erforderlich gewesen, die versehentlich versendete Excel-Liste passwortgeschützt zu speichern, da diese nur für den internen Gebrauch verwendet werden sollte und damit nicht zum Versand vorgesehen gewesen sei.
39Sie hat behauptet, nach dem Versand der E-Mail etwa 500 E-Mails erfolgreich zurückgerufen zu haben.
40Der Versand der E-Mail nebst Excel-Tabelle sei ein bedauerliches Versehen eines Mitarbeiters gewesen, weshalb sie jedenfalls kein Verschulden treffe. Jedenfalls könne sie sich exkulpieren, da sie den eingesetzten zuverlässigen Mitarbeiter gezielt ausgewählt und geschult habe. Dieser sei üblicherweise im Job-Center eingesetzt gewesen und sei zum Datenschutzrecht besonders sensibilisiert. Die Aufgabe im Impfzentrum hätte dieser Mitarbeiter kurzfristig übernommen, da die Beklagte im Sommer 2021 die Impfkapazitäten im Rahmen der bundesweiten Pandemiebekämpfung in kurzer Zeit erheblich habe ausbauen müssen.
41Im Übrigen sei den jeweiligen Zedenten kein immaterieller Schaden entstanden. Zu den meisten Zedenten mangele es schon an einem hinreichend individualisierten Vortrag der Klägerin. Soweit die Klägerin die Zedenten angeschrieben habe und auf Grundlage der erhaltenen Antworten konkret zu einzelnen Zedenten vortrage, hat sie die Angaben bestritten, insbesondere da die Antworten von der Klägerin vorformuliert gewesen seien.
42Im Übrigen sei bei der Berechnung der Schadenshöhe zu berücksichtigen, dass vor allem die Sozialsphäre der Zedenten betroffen sei, es sich um ein Versehen einer Einzelperson handele und die Beklagte den Vorfall unmittelbar transparent aufgeklärt habe. Schließlich sei das Bußgeldmodell bei der Berechnung des Schadenshöhe nicht anzuwenden.
43Das Landgericht hat die Klage abgewiesen und zur Begründung im Wesentlichen ausgeführt, dass die Abtretungsverträge jedenfalls gemäß §§ 3 RDG, 134, 139 BGB unwirksam seien, da in der Bevollmächtigung zur Geltendmachung von Auskunftsansprüchen eine Rechtsdienstleistung zu sehen sei, zu der die Klägerin nicht befugt gewesen sei. Der Verstoß führe gemäß § 139 BGB zur Unwirksamkeit des Vertrags insgesamt. Wegen der weiteren Einzelheiten der Entscheidung wird auf das angefochtene Urteil Bezug genommen (Bl. 1395 - 1423 LG-Akte).
44Gegen dieses Urteil wendet sich die Klägerin mit ihrer Berufung, mit der sie unter Wiederholung und Vertiefung ihres erstinstanzlichen Vortrags ihren Klageanspruch vollumfänglich weiterverfolgt. Das Landgericht habe die Klage zu Unrecht abgewiesen, insbesondere habe das Landgericht zu Unrecht einen Verstoß gegen§ 3 RDG angenommen.
45Die Klägerin beantragt,
46unter Abänderung des am 25. Mai 2023 verkündeten und am 7. Juni 2023 zugestellten Urteils des LG Essen, Az.:1 O 275/21, die Beklagte zu verurteilen, an sie einen in das Ermessen des Gerichts gestellten Schadensersatz in noch zu bestimmender Höhe, aber mindestens 800,00 EUR für jeden der in der Anlage K1 genannten 532 Betroffenen nebst Zinsen in Höhe von 9 Prozentpunkten über dem jeweiligen Basiszinssatz auf den jeweils zuerkannten Betrag ab Rechtshängigkeit zu zahlen.
47Die Beklagte beantragt,
48die Berufung zurückzuweisen.
49Sie verteidigt das angefochtene Urteil unter Ergänzung und Vertiefung ihres erstinstanzlichen Vorbringens.
50Der Senat hat Beweis erhoben durch die uneidliche Vernehmung der Zeugen S., D., K., I., O., U., T., N., L., E., F., Y., V., W., A., B., J., UQ., YK., RH., IS., BA., SE., AE., GU., DM., HW., GZ., KU., FF., KR. und RE.. Wegen der Einzelheiten der Beweisaufnahme wird auf die Berichterstattervermerke zu den mündlichen Verhandlungen des Senats vom 17.04.2024 (Bl. 755-764 OLG-Akte), vom 18.04.2024 (Bl. 765-779 OLG-Akte), vom 24.04.2024 (Bl. 780-790 OLG-Akte) und vom 08.05.2024 (Bl. 791-792 OLG-Akte) Bezug genommen.
51Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die von den Parteien gewechselten Schriftsätze nebst ihren Anlagen Bezug genommen.
52II.
53Die zulässige Berufung hat teilweise Erfolg und führt zur Abänderung des landgerichtlichen Urteils in dem aus der Urteilsformel ersichtlichen Umfang unter Zurückweisung des weitergehenden Rechtsmittels.
541.
55Die Klage ist zulässig, insbesondere auch hinsichtlich eines Anspruchs aus Art. 82 Abs. 1, 2 DSGVO. Die Zuständigkeit deutscher Gerichte folgt insoweit aus Art. 82 Abs. 6, 79 Abs. 2 DSGVO.
562.
57Die Klage ist in aus dem Tenor ersichtlichem Umfang begründet, im Übrigen ist sie unbegründet.
58Der Klägerin stehen aufgrund des Datenschutzverstoßes vom 00.00.2021 aus abgetretenem Recht der Zedenten K. und W. Schadensersatzansprüche in Höhe von insgesamt 600,00 Euro gemäß Art. 82 Abs. 1, 2 DSGVO gegen die Beklagte zu.
59a)
60Die Klägerin ist jedenfalls hinsichtlich der abgetretenen Forderungen der Zedenten K. und W. aktivlegitimiert.
61aa)
62Der von der Klägerin unter Vorlage der schriftlichen Abtretungsverträge behauptete Abschluss von Abtretungsverträgen mit 532 Zedenten ist von ihr jedenfalls bzgl. der Zedenten K. und W. bewiesen worden. Die insoweit von dem Senat als Zeugen angehörten Zedenten haben jeweils glaubhaft bestätigt, dass die ihnen vorgehaltene Unterschrift unter den jeweiligen Abtretungsverträgen von ihnen stammt und sie die Abtretungsverträge abschließen wollten.
63In Bezug auf die verbleibenden 530 Zedenten hat die Klägerin zunächst die Forderungen von sechs Zedenten (HW., Nr. 41 und Nr. 313, RG., Nr. 144 und Nr. 201, YI., Nr. 155 und Nr. 254, XJ., Nr. 156 und Nr. 410, TA., Nr. 163 und Nr. 226 und QO., Nr. 271 und Nr. 324, jeweils in der Anlage K1) doppelt geltend gemacht und zudem Forderungen von 15 Zedenten (GB., XD., PH., TB., JT., CY., BK., AU., FD., EL., XR., AW., IL., FS. und HX.) beansprucht, die nicht von dem Datenschutzverstoß betroffen waren. Darüber hinaus hat die Klägerin Forderungen von weiteren elf Zedenten geltend gemacht, die im Zeitpunkt des Abschlusses des Abtretungsvertrags noch minderjährig waren, ohne insoweit eine Einwilligung oder nachträgliche Genehmigung der Erklärung darzulegen, wobei hinsichtlich der als Zeugin vernommenen Zedentin DM. jedenfalls von einer konkludenten Genehmigung auszugehen ist. In einem weiteren Fall betreffend die Zedentin BC. hat die Klägerin den schriftlichen Abtretungsvertrag nicht vorgelegt.
64Letztlich brauchte der Senat über die Frage des Abschlusses von Abtretungsverträgen nur bzgl. der Zedenten K. und W. zu entscheiden, weil die Klägerin hinsichtlich der weiteren Zedenten einen Schaden entweder nicht hinreichend substantiiert dargelegt oder nicht bewiesen hat.
65bb)
66Die Zedenten K. und W. konnten ihre Ansprüche aus Art. 82 Abs. 1, 2 DSGVO auch wirksam an die Klägerin abtreten. Ein Verstoß gegen einen Abtretungsausschluss nach § 399 Var. 1 BGB, wonach insbesondere höchstpersönliche Ansprüche nicht abgetreten werden können, liegt nicht vor.
67Zwar wird teilweise die Auffassung vertreten, dass es sich bei einem Anspruch aus Art. 82 Abs.1, 2 DSGVO um einen höchstpersönlichen Anspruch handelt, weil dort die Genugtuung sowie eine Kompensation mittels einer Entschädigung für die Persönlichkeitsrechtsverletzung im Vordergrund stehe, die nur gegenüber der betroffenen Person zur Linderung führen könne (AG Hannover, Urteil vom 9. März 2020 – 531 C 10952/19 –, BeckRS 2019, 43221, Rn. 15,; vgl. zum Meinungsstand Wybitul/Leibold, Risiken für Unternehmen durch neue Rechtsprechung zum DS-GVO-Schadensersatz, ZD 2022, 207, 208). Überwiegend wird dies jedoch abweichend beurteilt. So handele es sich bei Art 82 Abs. 1, 2 DSGVO um einen eigenständigen deliktischen Anspruch, der dem allgemeinen nationalen Haftungsregime des BGB unterliege, was auch für die Übertragbarkeit des Anspruchs gelte (LG Essen, Urteil vom 23. September 2021 – 6 O 190/21 –, ZD 2022, 50, Rn. 36 f.; Quaas in: BeckOK Datenschutzrecht, 48. Ed. 1. Mai 2024, DSGVO Art. 82 Rn. 10 f.). Eine Persönlichkeitsverletzung sei gerade keine Anspruchsvoraussetzung. Art. 82 Abs. 1, 2 DSGVO diene auch der Vermeidung von zukünftigen Verstößen, sodass ihm ein spezialpräventiver Charakter und damit auch eine objektive Aufgabe zukomme. Zudem verfolge die DSGVO das Ziel, einen „vollständigen und wirksamen Schadensersatz“ zu gewährleisten, sodass auch die Notwendigkeit der tatsächlichen Durchsetzbarkeit dieses Anspruchs im Vordergrund stehe. Die Rechtsprechung des BGH zu schweren Persönlichkeitsverletzungen sei auf Art. 82 DSGVO nicht übertragbar (Quaas in: BeckOK Datenschutzrecht, 48. Ed. 1. Mai 2024, DSGVO Art. 82 Rn. 11; vgl. zum Meinungsstand Wybitul/Leibold, a.a.O., ZD 2022, 207, 208). Die Wirksamkeit dieses Schadensersatzes im Sinne von Erwgr. 146 S. 6 DSGVO wäre wesentlich beeinträchtigt, wenn der Anspruch nicht zum Zwecke der Geltendmachung an Dritte übertragen werden könnte (Hellgardt, Die Schadensersatzhaftung für Datenschutzverstöße im System des unionalen Haftungsrechts, ZEuP 2022, 7, 33).
68Der Senat schließt sich im Ergebnis der letztgenannten Auffassung an. Nach § 399 Var. 1 BGB ist eine Forderung nicht übertragbar, wenn die Leistung an einen anderen als den ursprünglichen Gläubiger nicht ohne Veränderung ihres Inhalts erfolgen kann. Dies ist dann anzunehmen, wenn die Leistung auf höchstpersönlichen Ansprüchen des Berechtigten beruht, die er nur selbst erheben kann, oder wenn ein Gläubigerwechsel zwar rechtlich vorstellbar, das Interesse des leistenden Schuldners an der Beibehaltung einer bestimmten Gläubigerperson aber besonders schutzwürdig ist, oder wenn ohne Veränderung des Leistungsinhalts die dem Gläubiger gebührende Leistung mit seiner Person derart verknüpft ist, dass die Leistung an einen anderen Gläubiger als eine andere Leistung erschiene. In allen diesen drei Fallgruppen ist die Abtretbarkeit ausgeschlossen, weil andernfalls die Identität der abgetretenen Forderung nicht gewahrt bliebe (BGH, Urteil vom 24. März 2011 – IX ZR 180/10 –, Rn. 42, juris).
69Ansprüche wegen immaterieller Schäden sind nach der Rechtsprechung des BGH seit dem 1. Juli 1990 uneingeschränkt übertragbar und pfändbar, nachdem durch das Gesetz zur Änderung des BGB und anderer Gesetze vom 14. März 1990 (BGBl. I S. 478) § 847 Abs. 1 S. 2 BGB aF gestrichen wurde (BGH, Beschluss vom 18. Juni 2020 – IX ZB 11/19 –, Rn. 14, juris; vgl. auch BGH, Urteil vom 24. März 2011 – IX ZR 180/10 -, Rn. 33, juris zu Ansprüchen aus Staatshaftung). Ob dies auch für Ansprüche wegen Verletzung des Persönlichkeitsrechts gilt, ist noch nicht höchstrichterlich entschieden (vgl. BGH Beschluss vom 18. Juni 2020 – IX ZB 11/19 –, Rn. 15, juris), vom BGH in Bezug auf einen Anspruch aus § 15 Abs. 2 AGG jedoch bejaht worden (vgl. BGH Beschluss vom 18. Juni 2020 – IX ZB 11/19 –, Rn. 18 ff., juris).
70Nach Auffassung des Senats handelt es sich bei Art. 82 Abs. 1, 2 DSGVO nicht um einen höchstpersönlichen Anspruch. Anspruchsvoraussetzung ist ein Datenschutzverstoß, durch den der Anspruchsteller persönlich betroffen sein muss. Anders als bei einer Verletzung des Allgemeinen Persönlichkeitsrecht steht hier nicht der Genugtuungsgedanke im Vordergrund, sondern es soll der aufgrund eines Verstoßes gegen die DSGVO entstandene Schaden vollständig und wirksam finanziell entschädigt werden, womit eine Ausgleichsfunktion verbunden ist (vgl. auch EuGH, Urteil vom 21. Dezember 2023 – C-667/21 -, Rn. 85, juris). Darüber hinaus erfüllt Art. 82 DSGVO einen weiteren Normzweck, mit dem ihm eine spezial- und auch generalpräventive Aufgabe zukommt, indem er dazu beitragen soll, dass innerhalb der Union ein gleichmäßiges und hohes Schutzniveau von natürlichen Personen bei der Verarbeitung personenbezogener Daten gewährleistet (vgl. EuGH, Urteil vom 4. Mai 2023 – C-300/21 –, NZA 2023, 621, Rn. 48) und ein Anreiz für die Einhaltung der DSGVO geschaffen wird (EuGH, Urteil vom 4. Mai 2023 – C-300/21 –, NZA 2023, 621, Rn. 40; EuGH, Urteil vom 21. Dezember 2023 – C-667/21 –, Rn. 85, juris). Schließlich enthält Art. 82 DSGVO eine eigenständige Anspruchsgrundlage für einen Ersatzanspruch, sodass die Grundsätze, die für einen Anspruch auf Geldentschädigung wegen einer Verletzung des Allgemeinen Persönlichkeitsrechts gelten, nicht anzuwenden sind. Insbesondere ist nicht erforderlich, dass es sich um einen schwerwiegenden Eingriff handelt; der EuGH hat eine Erheblichkeitsschwelle ausdrücklich verneint (EuGH, Urteil vom 4. Mai 2023 – C-300/21 -,NZA 2023, 621, Rn. 43 ff.). Grundsätzlich ist daher jeder Datenschutzverstoß geeignet, einen Schadensersatzanspruch aus Art. 82 Abs. 1, 2 DSGVO zu begründen.
71Ferner ist ein schutzwürdiges Interesse des Schuldners an der Beibehaltung der Person des Gläubigers nicht erkennbar und die Leistung ist auch nicht dergestalt mit der Person des Gläubigers verknüpft, dass die Leistung an einen anderen Gläubiger als eine andere Leistung erschiene.
72cc)
73Die Abtretungsverträge sind zudem nicht gemäß §§ 134 BGB, 3 RDG nichtig.
74Gemäß § 3 RDG ist die selbständige Erbringung außergerichtlicher Rechtsdienstleistungen nur in dem Umfang zulässig, in dem sie durch dieses Gesetz oder durch oder aufgrund anderer Gesetze erlaubt wird. Verträge zwischen Rechtsuchenden und einem Rechtsdienstleister, denen unerlaubte Rechtsdienstleistungen zugrunde liegen, sind wegen Verstoßes gegen ein gesetzliches Verbot gem. § 134 BGB nichtig (vgl. BGH, Urteil vom 27. November 2019 – VIII ZR 285/18 -, Rn. 38, juris).
75(1)
76Das RDG ist zunächst anwendbar. Nach § 1 Abs. 1 S. 1 RDG regelt das RDG die Befugnis, in der Bundesrepublik Deutschland außergerichtliche Rechtsdienstleistungen zu erbringen. Wenn eine Rechtsdienstleistung ausschließlich aus einem anderen Staat heraus erbracht wird, gilt dies nach § 1 Abs. 2 RDG allerdings nur, wenn ihr Gegenstand deutsches Recht ist.
77Das RDG soll demnach keine Anwendung finden, wenn ein ausländischer Rechtsdienstleister allein aus dem Ausland heraus handelt, ohne selbst das Gebiet der Bundesrepublik Deutschland zu betreten, weil in diesen Fällen die Leistung des Rechtsdienstleisters nahezu vollständig im Ausland erbracht wird (BT-Drs. 18/9521, S. 203 f.). Jedoch soll das RDG anwendbar sein, wenn sich die aus dem Ausland heraus erbrachte Rechtsdienstleistung an eine andere (natürliche oder juristische) Person als die Mandantschaft wendet. Dies betrifft insbesondere Fälle, in denen Rechtsdienstleister Vertragspartner ihrer Mandantschaft (z. B. bei Inkassodienstleistungen deren Schuldner) selbst anschreiben oder gegenüber Behörden selbst auftreten (BT-Drs. 18/9521, S. 204; vgl. auch Deckenbrock in: Henssler/Deckenbrock, 5. Aufl. 2021, RDG § 1 Rn. 37).
78Nach diesen Maßstäben ist die Klägerin in der Bundesrepublik Deutschland tätig geworden. Die Klägerin hat im Zeitraum August/September 2021 den in der BRD ansässigen Zedenten jeweils postalisch den Abtretungsvertrag zugeschickt, die diesen wiederum unterschrieben an die Klägerin zurückgeschickt haben. Ferner hat sie gegenüber der Beklagten unter dem 28. September 2021 und dem 21. Oktober 2021 schriftlich Ansprüche geltend gemacht und schließlich hat die Klägerin mit der G. GmbH aus QX. kooperiert, was insbesondere aus der E-Mail des damaligen Geschäftsführers der G. GmbH – X. – an die Beklagte vom 20. September 2021 (Anlage B 2, Bl. 723 LG-Akte) folgt, in der er sich als Geschäftsführer der G. Group bezeichnet und ausführt, knapp 1.000 C.er Bürgerinnen und Bürger hätten ihre Ansprüche wegen der Datenpanne vom 00.00.2021 an sie abgetreten, obwohl die Ansprüche an die Klägerin abgetreten worden sind. Dies ergibt sich zudem aus den AGB der G. GmbH (Anlage B 7, Bl. 740 ff. LG-Akte), in denen in Ziff. 1.2 geregelt wird, dass hinsichtlich des Datenlecks der Stadt C. nicht die G. GmbH Vertragspartner wird, sondern die Klägerin.
79Darüber hinaus ist Gegenstand der Tätigkeit der Klägerin auch deutsches Recht gewesen. Zwar ist in der Literatur umstritten, ob europäisches Recht unter den Begriff des deutschen Rechts im Sinne von § 1 Abs. 2 RDG fällt. Nach Auffassung des Senats ist dies jedoch der Fall. Die Rücknahme des Schutzbereichs des RDG wird damit begründet, dass sich aufgrund des Beratungsgegenstands der Rechtsdienstleistung bereits die Ausnahme vom RDG ergebe. Für das EU-Recht, welches eng mit dem nationalen Recht verwoben ist, gilt dies aber nicht (vgl. Krenzler/Remmertz, Rechtsdienstleistungsgesetz, 3. Aufl. 2023, § 1 RDG Rn. 105 m. w. N, beck-online; Wolf in: Gaier/Wolf/Göcken, Anwaltliches Berufsrecht, 3. Aufl. 2020, 3. Rechtsberatung nach Deutschland, § 1 RDG, Rn. 36). Zudem stützt der in § 1 Abs. 1 S. 2 RDG niedergelegte Zweck des RDG, die Rechtsuchenden, den Rechtsverkehr und die Rechtsordnung vor unqualifizierten Rechtsdienstleistungen zu schützen, die Annahme, den Anwendungsbereich des RDG nicht auf vom deutschen Gesetzgeber geschaffenes Recht zu beschränken, sondern ihn auf das in der BRD geltende Recht zu beziehen. Diese Annahme wird schließlich auch durch die Gesetzeshistorie gestützt. So wird in den Gesetzesmaterialien darauf abgestellt, dass dann, wenn sich ein Schuldner freiwillig entschieden habe, ein Rechtsverhältnis nach ausländischem Recht abzuschließen, er nicht darauf vertrauen könne, in der Abwicklung dieses Rechtsverhältnisses dem Schutz des deutschen RDG zu unterfallen. Insoweit wird als Beispiel der Kauf eines Gegenstands in Frankreich und die entsprechende Anwendbarkeit französischen Zivilrechts genannt (BT-Drs. 18/9521, S. 204). Der Gesetzgeber hat demnach bei seinen Überlegungen zur Einführung von § 1 Abs. 2 RDG nicht nur an das durch den deutschen Gesetzgeber kodifizierte Recht gedacht, sondern an das in der BRD anzuwendende Recht, wozu auch unmittelbar in der BRD geltendes Unionsrecht zählt.
80(2)
81Die Klägerin hat jedoch nicht eine Tätigkeit in konkreten fremden Angelegenheiten, die eine rechtliche Prüfung des Einzelfalls erfordert und damit keine Rechtsdienstleitung im Sinne von § 2 Abs. 1 RDG erbracht.
82(a)
83Bei den Abtretungsverträgen handelt es sich um sog. echtes Factoring, das dem Anwendungsbereich des Rechtsdienstleistungsgesetzes nicht unterfällt (BGH, Urteil vom 21. März 2018 – VIII ZR 17/17 -, Rn. 18, juris), weil der Erwerber die Forderung unter vollständiger Übernahme des Delkredererisikos kauft und damit keine fremden, sondern ausschließlich eigene Angelegenheiten besorgt (BGH, a.a.O. Rn. 25, juris).
84Vorliegend hat sich die Klägerin die Schadensersatzansprüche gegen die Beklagte wegen des „Datenlecks“ vom 00.00.2021 abtreten lassen (Ziff. 1 Satz 1 des Abtretungsvertrags). Mit der Abtretung sollte die Klägerin alleinige Forderungsinhaberin werden und die Durchsetzung der Forderungen sollte ausschließlich in ihrer Verantwortung liegen. Die Klägerin sollte alle in Verbindung mit der Durchsetzung entstehenden Kosten und Risiken tragen, und zwar auch dann, wenn die Forderung nicht eingetrieben werden könne oder der Schuldner zahlungsunfähig werde (Ziffer 2 des Abtretungsvertrags). Damit wurden die Forderungen endgültig auf die Klägerin übertragen, die damit auch das alleinige wirtschaftliche Risiko tragen sollte.
85Mithin handelt es sich nicht um Inkassodienstleistungen nach § 2 Abs. 2 S. 1 RDG, sodass es hier auch nicht erheblich auf eine Registrierung nach § 10 Abs. 1 S. 1 Nr. 1 RDG ankommt.
86(b)
87Auch soweit die Klägerin in Ziffer 1 Satz 3 des Abtretungsvertrags zur Geltendmachung aller für die Durchsetzung des abgetretenen Anspruchs notwendigen Auskunfts- und Datenübertragungsansprüche bevollmächtigt wurde und ihr insoweit auch bereits für den Fall der Nichterfüllung etwaige Schadensersatzansprüche abgetreten wurden, liegt eine Rechtsdienstleistung nach § 2 Abs. 1 RDG nicht vor.
88(aa)
89Es handelt sich insoweit schon nicht um eine fremde Angelegenheit.
90Fremd im Sinne des RDG sind solche Angelegenheiten, die nicht die eigene Rechtsposition des Besorgenden betreffen und daher an sich der Sorge eines anderen obliegen. Die Frage nach der Fremdheit ist von einem wirtschaftlichen Standpunkt aus zu beurteilen (BT-Drs. 16/3655, S. 48; Deckenbrock/Henssler, Rechtsdienstleitungsgesetz, 5. Aufl. 2021, § 2 RDG, Rn. 22, beck-online). Ob eine eigene oder eine fremde Rechtsangelegenheit betroffen ist, richtet sich danach, in wessen wirtschaftlichem Interesse die Besorgung der Angelegenheit liegt. Wird die Rechtsangelegenheit nicht nur im eigenen, sondern auch im fremden Interesse besorgt, führt dies nicht notwendig dazu, dass es sich um eine fremde Rechtsangelegenheit handelt. Ein lediglich mittelbares Eigeninteresse macht eine fremde Rechtsangelegenheit nicht zu einer eigenen. In Fällen, in denen der Handelnde nicht primär im eigenen wirtschaftlichen Interesse tätig wird, ist jedoch von einer Fremdheit der Angelegenheit auszugehen (BGH, Urteil vom 31. März 2016 – I ZR 88/15 -, NJW 2016, 3441, Rn. 26, beck-online).
91Zwar handelt es sich auch nach der Bevollmächtigung rechtlich weiterhin um eine Angelegenheit der Zedenten, da diese Inhaber der Auskunftsansprüche bleiben, die rechtliche Inhaberschaft ist für die Beurteilung, ob es sich um eine fremde Angelegenheit handelt, jedoch nicht maßgeblich. Unter einer rein wirtschaftlichen Betrachtung haben die Zedenten, soweit sie die Klägerin zu ihrer Geltendmachung bevollmächtigt haben, kein eigenes Interesse an den Auskunftsansprüchen, weil sämtliche geldwerten Ansprüche, die sich aus der Auskunft ergeben könnten, an die Klägerin abgetreten worden sind.
92Die Klägerin hat sich in Ziffer 1 des Abtretungsvertrags sämtliche Schadensersatzansprüche gegen die Beklagte im Zusammenhang mit dem „Datenleck“ vom 00.00.2021 abtreten lassen hat. Unmittelbar im Anschluss an diese Abtretung ist die Klägerin in dem Abtretungsvertrag bevollmächtigt worden, alle „für die Durchsetzung notwendigen Auskunfts- und Datenübertragungsansprüche“ nach der DSGVO gegenüber der Beklagten geltend zu machen, woraus sich eine unmittelbare Verbindung der abgetretenen Schadensersatzansprüche mit den Auskunftsansprüchen ergibt, die im Übrigen auch nur soweit abgetreten werden, wie dies zur Durchsetzung der abgetretenen Schadensersatzansprüche erforderlich ist. Da die Schadensersatzansprüche endgültig an die Klägerin abgetreten worden sind und diese – wie bereits ausgeführt – das alleinige wirtschaftliche Risiko ihrer Durchsetzung trägt, dienen die Auskunftsansprüche, jedenfalls in dem Umfang, in dem die Klägerin zu ihrer Geltendmachung bevollmächtigt worden ist, allein ihrem wirtschaftlichen Interesse. Auch im Übrigen besteht insoweit kein wirtschaftliches Interesse der Zedenten, weil die Klägerin sich auch weitere Schadensersatzansprüche der Zedenten wegen der Nichterfüllung des Auskunftsbegehrens abtreten lassen hat.
93(bb)
94Darüber hinaus macht die Bevollmächtigung zur Geltendmachung der Auskunftsansprüche auch keine rechtliche Prüfung im Einzelfall durch die Klägerin erforderlich.
95§ 2 Abs. 1 RDG erfasst insoweit jede konkrete Subsumtion eines Sachverhalts unter die maßgeblichen rechtlichen Bestimmungen, die über eine bloß schematische Anwendung von Rechtsnormen ohne weitere rechtliche Prüfung hinausgeht. Ob es sich um eine einfache oder schwierige Rechtsfrage handelt, ist unerheblich (BGH, Urteil vom 14. Januar 2016 – I ZR 107/14 -, GRUR 2016, 820, Rn. 43, beck-online; Krenzler/Remmertz, Rechtsdienstleistungsgesetz, 3. Aufl. 2023, § 2 RDG, Rn. 20, beck-online).
96Insofern macht die formlos mögliche Geltendmachung eines Auskunftsanspruchs nach Art. 15 DSGVO eine rechtliche Prüfung auf Seiten des Anspruchsinhabers gerade nicht erforderlich. Vielmehr muss der Verantwortliche im Sinne von Art. 15 Abs. 1 DSGVO prüfen, ob ihn eine Auskunftspflicht trifft. Der Betroffene hat hingegen in jedem Fall einen Auskunftsanspruch, und zwar in Form einer Negativauskunft selbst dann, wenn im Einzelfall vom Anspruchsgegner keine Daten verarbeitet worden sind. Dies macht eine irgendwie geartete vorherige rechtliche Prüfung durch den Anspruchsteller obsolet.
97(cc)
98Im Übrigen läge eine erlaubnisfreie Nebenleistung gemäß § 5 Abs. 1 S. 1 RDG vor.
99Danach sind Rechtsdienstleistungen im Zusammenhang mit einer anderen Tätigkeit erlaubt, wenn sie als Nebenleistung zum Berufs- oder Tätigkeitsbild gehören. Ob eine Nebenleistung vorliegt, ist nach ihrem Inhalt, Umfang und sachlichen Zusammenhang mit der Haupttätigkeit unter Berücksichtigung der Rechtskenntnisse zu beurteilen, die für die Haupttätigkeit erforderlich sind (BGH, Urteil vom 27. November 2019 – VIII ZR 285/18 -, NJW 2020, 208, Rn. 75, beck-online). Eine solche Nebenleistung ist in der Geltendmachung von auf den abgetretenen Schadensersatzanspruch gerichteten Auskunftsansprüchen zu sehen, weil sie ausschließlich zur Vorbereitung und Durchsetzung der Hauptleistung, nämlich der Durchsetzung der abgetretenen Forderung, dienen.
100(dd)
101Jedenfalls würde im vorliegenden Einzelfall – das Vorliegen einer erlaubnispflichtigen Rechtsdienstleistung unterstellt – ein Verstoß gegen § 3 RDG nicht die Gesamtnichtigkeit der Abtretungsverträge bewirken, §§ 134, 139 BGB.
102Nach der Rechtsprechung des BGH lassen sich für die Beurteilung, ob eine Rechtsdienstleistung nach § 3 RDG unzulässig ist und die mit ihr zusammenhängenden Rechtsgeschäfte deshalb grundsätzlich nach § 134 BGB nichtig sind, keine allgemeingültigen Maßstäbe aufstellen. Erforderlich ist vielmehr stets eine am Schutzzweck des RDG, die Rechtsuchenden, den Rechtsverkehr und die Rechtsordnung vor unqualifizierten Rechtsdienstleistungen zu schützen, orientierte Würdigung der Umstände des Einzelfalls einschließlich einer Auslegung der hinsichtlich der Forderungseinziehung getroffenen Vereinbarungen. Dabei sind auch die Wertentscheidungen des Grundgesetzes zu berücksichtigen. Folglich sind die Grundrechte der Beteiligten – namentlich zum einen die Berufsausübungsfreiheit des Dienstleistenden (Art. 12 Abs. 1 GG) und zum anderen die zugunsten des Kunden zu berücksichtigende Eigentumsgarantie (Art. 14 Abs. 1 GG), die – bereits entstandene – schuldrechtliche Forderungen umfasst, sowie der Grundsatz des Vertrauensschutzes in den Blick zu nehmen und ist hierbei auch den Veränderungen der Lebenswirklichkeit Rechnung zu tragen (BGH, Urteil vom 27. November 2019 – VIII ZR 285/18 -, Rn. 109 f., juris). Dementsprechend hat nicht jede – auch geringfügige – Verletzung von § 3 RDG stets auch die Nichtigkeit der Rechtsgeschäfte nach § 134 BGB zur Folge. So kann es Fälle geben, bei denen die Überschreitung der Inkassodienstleistungsbefugnis so geringfügig ist, dass noch nicht einmal ein Verstoß gegen § 3 RDG vorliegt. Daneben kann es Fälle geben, bei denen ein solcher Verstoß zwar vorliegt, aber aufgrund einer verfassungsgemäßen Auslegung und Anwendung des § 134 BGB jedenfalls eine Nichtigkeit der diesem Verstoß zugrunde liegenden Rechtsgeschäfte aus Gründen der Verhältnismäßigkeit nicht angenommen werden kann (BGH, a.a.O., Rn. 90, juris).
103Bezogen auf den konkreten Einzelfall spricht für eine Geringfügigkeit des (unterstellten) Verstoßes, dass die Bevollmächtigung zur Geltendmachung der Auskunftsansprüche nur so weit reicht, wie dies zur Durchsetzung der Schadensersatzansprüche erforderlich ist und damit die Auskunftsansprüche einzig der Durchsetzung der Hauptansprüche dienen. Zudem erfordert die Geltendmachung des Auskunftsanspruchs aus Art. 15 DSGVO – wie dargestellt – keine umfassende juristische Prüfung. In einer Gesamtbetrachtung der streitgegenständlichen Abtretungsverträge käme dem unterstellten Verstoß gegen § 3 RDG, der sich allein auf die Bevollmächtigung zur Geltendmachung von Auskunftsansprüchen bezieht, nur ein äußerst geringes Gewicht zu, sodass unter Berücksichtigung der Grundrechte der Klägerin und der Zedenten sowie des Verhältnismäßigkeitsgrundsatzes der Verstoß nicht die Nichtigkeit des Rechtsgeschäfts bewirken.
104Überdies würde eine unterstellte Nichtigkeit der Bevollmächtigung vorliegend auch nicht zu einer Nichtigkeit des gesamten Abtretungsvertrags führen.
105Zwar sieht § 139 BGB bei der Teilnichtigkeit eines einheitlichen Rechtsgeschäfts auch dann, wenn das Geschäft an sich teilbar wäre, im Zweifel die Nichtigkeit des gesamten Geschäfts vor, jedoch kommt auch insoweit die Aufrechterhaltung des von der Nichtigkeit nicht betroffenen Teils ausnahmsweise in Betracht, wenn angenommen werden kann, dass das Geschäft auch ohne den nichtigen Teil vorgenommen worden wäre (BeckOK BGB/Wendtland, 70. Ed. 1. Mai 2024, BGB § 139 Rn. 16). Eine Aufspaltung in einen wirksamen und einen unwirksamen Teil kommt ausnahmsweise in Betracht, wenn konkrete, über allgemeine Billigkeitserwägungen hinausgehende Anhaltspunkte den Schluss rechtfertigen, dass die Aufspaltung dem entspricht, was die Parteien bei Kenntnis der Nichtigkeit ihrer Vereinbarung geregelt hätten (BGH, Urteil vom 17. Oktober 2008 - V ZR 14/08 -, NJW 2009, 1135, Rn. 14, beck-online).
106Hier ist der Abtretungsvertrag teilbar. Die Abtretung der im Wesentlichen relevanten Ansprüche aus Art. 82 DSGVO wäre auch ohne die Bevollmächtigung zur Geltendmachung der Auskunftsansprüche möglich gewesen. Überdies waren die Auskunftsansprüche für die Geltendmachung des Anspruchs aus Art. 82 DSGVO wegen des bereits erfolgten Datenschutzverstoßes ohne Bedeutung, da es sich bei dem Verstoß um einen einzelnen konkreten Vorfall handelte und zudem bereits bekannt war, welche Daten preisgegeben worden sind. Der Auskunftsanspruch entfaltete lediglich in Bezug auf den anschließend noch abgetretenen Schadensersatzanspruch wegen Nichterfüllung der Auskunft eine Bedeutung. Es ist deshalb aufgrund dieser konkreten Anhaltspunkte davon auszugehen, dass die Klägerin und die Zedenten den Vertrag aufgespalten und den Schadensersatzanspruch aufgrund des Datenschutzverstoßes vom 00.00.2021 gesondert abgetreten hätten.
107dd)
108Die Abtretungsverträge sind auch nicht deshalb nichtig, weil sie sittenwidrige Rechtsgeschäfte darstellen würden, § 138 BGB.
109(1)
110Eine Nichtigkeit wegen Wuchers gemäß § 138 Abs. 2 BGB erfordert, dass der wucherisch Handelnde dem Bewucherten eine Geld- oder Sachleistung erbringt, auf die dieser zur Behebung seiner Zwangslage angewiesen ist, dass der Wucherer um diese konkrete Schwäche des anderen Teils weiß, sich diese bei Abschluss des Geschäfts bewusst zunutze macht und dabei Kenntnis von dem zu seinen Gunsten bestehenden Leistungsmissverhältnis hat (BeckOK BGB/Wendtland, 70. Ed. 1. Mai 2024, § 138 BGB, Rn. 55). Diese subjektiven Voraussetzungen hat die insoweit darlegungs- und beweisbelastete Beklagte (vgl. dazu BGH, Urteil vom 13. Dezember 2018 – IX ZR 216/17 -, NJW 2019, 676, Rn. 11, beck-online) weder hinreichend vorgetragen noch sind sie aus sonstigen Umständen ersichtlich.
111(2)
112Ferner liegt ein wucherähnliches Rechtsgeschäft nicht vor.
113Ein gegenseitiger Vertrag kann, auch wenn der Wuchertatbestand des § 138 Abs. 2 BGB nicht erfüllt ist, als wucherähnliches Rechtsgeschäft nach § 138 Abs. 1 BGB sittenwidrig sein, wenn zwischen Leistung und Gegenleistung objektiv ein auffälliges Missverhältnis besteht und mindestens ein weiterer Umstand hinzukommt, der den Vertrag als sittenwidrig erscheinen lässt. Ist das Missverhältnis zwischen Leistung und Gegenleistung besonders grob, lässt dies den Schluss auf eine verwerfliche Gesinnung des Begünstigten zu (BGH, Urteil vom 10. Februar 2012 − V ZR 51/11 -, NJW 2012, 1570, Rn. 8, beck-online).
114Soweit die Beklage meint, ein auffälliges Missverhältnis sei deshalb zu bejahen, weil die Klägerin für eine Forderung an die Zedenten etwa 30 bis 35 Euro gezahlt habe, selbst aber von einem Wert von 800 bis 850 Euro pro Forderung ausgehe, vermag dies ein auffälliges Missverhältnis nicht zu begründen, weil für diese Beurteilung auf den objektiven Wert der Forderungen abzustellen ist, der je nach Betroffenheit der Zedenten im Einzelfall zwischen 100 bis 400 Euro und damit deutlich unterhalb der subjektiven Vorstellungen der Klägerin liegt.
115Darüber hinaus ist zu berücksichtigen, dass die Klägerin die Forderungen mittels echtem Factoring erworben hat und damit sowohl das Risiko des Bestands und der Durchsetzung der Forderungen trägt als auch den weiteren finanziellen Aufwand und ggf. Gebühren bei der Durchsetzung der Forderung aufbringt. Schließlich sind auch keine weiteren Umstände wie bspw. eine Abhängigkeit der Zedenten von der Klägerin oder Ähnliches ersichtlich.
116(3)
117Auch im Übrigen liegt unter Berücksichtigung der Art und Weise, wie sich die Klägerin die Forderungen der Zedenten verschafft hat, ein sittenwidriges Verhalten zu Lasten der Beklagten nicht vor.
118Zwar ist davon auszugehen, dass die Klägerin die von dem Datenschutzverstoß betroffenen Daten aus den Excel-Tabellen insoweit für sich genutzt hat, dass sie unter der Verwendung des Namens einer tatsächlich nicht existierenden „Europäischen Zentrale für Verbraucherschutz“ die von dem Datenschutzverstoß Betroffenen per E-Mail angeschrieben und in der E-Mail einen Link zu ihrer Muttergesellschaft G. GmbH verwendet hat, um so den Betroffenen ein Angebot für den Kauf der Forderung zu unterbreiten, sodass die Klägerin ihrerseits ggf. gegen den Datenschutz und das Gesetz gegen unlauteren Wettbewerb verstoßen haben mag. Dieses Verhalten begründet jedoch nicht die Sittenwidrigkeit der Abtretungsverträge.
119Ein Rechtsgeschäft ist nach § 138 Abs. 1 BGB nichtig, wenn es nach seinem aus der Zusammenfassung von Inhalt, Beweggrund und Zweck zu entnehmenden Gesamtcharakter mit den guten Sitten nicht vereinbar ist. Dabei sind nicht nur der objektive Inhalt des Geschäfts, sondern auch die Umstände, die zu seiner Vornahme geführt haben, und die von den Parteien verfolgten Absichten und Beweggründe zu berücksichtigen. Das Bewusstsein der Sittenwidrigkeit und eine Schädigungsabsicht sind nicht erforderlich; es genügt, wenn der Handelnde die Tatsachen kennt, aus denen sich die Sittenwidrigkeit ergibt, wobei dem gleichsteht, wenn sich jemand bewusst oder grob fahrlässig der Kenntnis erheblicher Tatsachen verschließt (vgl. BGH, Urteil vom 2. Februar 2012 – III ZR 60/11 -, Rn. 20, juris).
120Ein sittenwidriges Verhalten durch eine vertragliche Vereinbarung zu Lasten eines Dritter – hier der Beklagten – setzt jedoch weiter voraus, dass beide Vertragsparteien die Tatsachen, die die Sittenwidrigkeit begründen, kennen bzw. sich der entsprechenden Kenntnis verschließen (BGH, Versäumnisurteil vom 10. Januar 2007 - XII ZR 72/04 -, Rn. 13, juris). Bei Verträgen, die einen Dritten schädigen sollen, ist außerdem erforderlich, dass der Vertrag die Rechtsstellung des Dritten tatsächlich verschlechtert. Ein für den Dritten objektiv nicht nachteiliges Rechtsgeschäft erfüllt den Tatbestand des § 138 Abs. 1 BGB nicht (BGH, Urteil vom 28. Oktober 2011 – V ZR 212/10 –, Rn. 10, juris).
121Diese Voraussetzungen sind nicht erfüllt. Dass die Zedenten die dargestellten Hintergründe, wie die Klägerin vor der Abtretung der Forderungen vorgegangen ist, kannten, ist weder vorgetragen noch sonst ersichtlich. Vielmehr haben die Zedenten – soweit ersichtlich – ihre Forderungen aus freien Stücken an die Klägerin abgetreten und stellen dies auch nachträglich nicht in Frage. Darüber hinaus ist eine Verschlechterung der Rechtsstellung der Beklagten nicht ersichtlich. Die Abtretungsverträge wirken sich lediglich dergestalt auf sie aus, dass die Ansprüche ihr gegenüber gebündelt geltend gemacht werden.
122(4)
123Das Geltendmachen der abgetretenen Forderungen gegenüber der Beklagten stellt sich auch nicht als rechtsmissbräuchlich dar, § 242 BGB.
124Nach der Rechtsprechung des BGH kann ein treuwidriges Verhalten eines Vertragspartners zwar dazu führen, dass ihm die Ausübung eines ihm zustehenden Rechts zu versagen ist, wenn er sich dieses Recht gerade durch das treuwidrige Verhalten verschafft hat. Entsprechendes gilt, wenn das treuwidrige Verhalten darauf gerichtet war, die tatsächlichen Voraussetzungen der Rechtsausübung zu schaffen, etwa die zur Ausübung eines Rücktritts- oder Anfechtungsrechts erforderliche Tatsachenkenntnis zu erlangen. Allerdings führt nicht jedes rechts- oder pflichtwidrige Verhalten stets oder auch nur regelmäßig zur Unzulässigkeit der Ausübung der hierdurch erlangten Rechtsstellung. Lässt sich ein solches zielgerichtet treuwidriges Verhalten nicht feststellen, so muss durch eine umfassende Abwägung der maßgeblichen Umstände des Einzelfalls entschieden werden, ob und inwieweit einem Beteiligten die Ausübung einer Rechtsposition nach Treu und Glauben verwehrt sein soll. Dies muss umso mehr gelten, wenn beiden Seiten ein Rechtsverstoß zur Last fällt (BGH, Urteil vom 28. Oktober 2009 – IV ZR 140/08 –, Rn. 21, juris).
125Insoweit ist hier zu berücksichtigen, dass erstens die Klägerin und die Beklagte nicht vertraglich miteinander verbunden sind – sodass die zitierte Rechtsprechung des BGH nicht unmittelbar einschlägig ist – und zweitens das in Rede stehende rechtswidrige Verhalten der Klägerin nicht gegenüber der Beklagten erfolgte, sondern gegenüber den Zedenten, wovon die Beklagte nur insofern mittelbar betroffen ist, als dass die Klägerin ihr gegenüber die Schadensersatzansprüche gebündelt geltend macht, was jedoch nicht einen derartigen Nachteil darstellt, dass der Klägerin die Ausübung ihrer Rechte verwehrt wäre.
126b)
127Aus abgetretenem Recht stehen der Klägerin Ansprüche auf Ersatz des immateriellen Schadens in Höhe von insgesamt 600,00 Euro aus Art. 82 Abs. 1, 2 DSGVO (in Verbindung mit Art. 288 Abs. 2 AEUV) gegen die Beklagte zu.
128aa)
129In Bezug auf den streitgegenständlichen Datenschutzverstoß ist der Anwendungsbereich der DSGVO in zeitlicher, sachlicher und räumlicher Hinsicht eröffnet (vgl. Senatsurteil vom 20. Januar 2023 – 11 U 88/22 -, Rn. 67 ff., juris). Die o.g. Zedenten wahren ihrerseits gemäß Art. 82 Abs. 1 DSGVO als Personen, denen wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, anspruchsberechtigt und haben die Aktivlegitimation auf die Klägerin übertragen. Die Beklagte ist als Verantwortliche im Sinne von Art. 82 Abs. 1, Abs. 2, Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 UnterAbs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 7 DSGVO passivlegitimiert. Der Anspruch aus Art. 82 Abs. 1, 2 DSGVO wird auch nicht durch § 839 BGB, Art. 34 GG verdrängt (vgl. dazu Senatsurteil vom 20. Januar 2023 – 11 U 88/22 –, Rn. 71 ff., juris).
130bb)
131Im Übrigen hat Art. 82 Abs. 2 DSGVO - der die in Art. 82 Abs. 1 DSGVO grundsätzlich normierte Haftungsregelung präzisiert - drei Voraussetzungen für die Entstehung des Schadensersatzanspruchs, nämlich erstens eine Verarbeitung personenbezogener Daten im Sinne der Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 UnterAbs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 1 und 2 DSGVO unter schuldhaftem Verstoß gegen die Bestimmungen der DSGVO, zweitens einen der betroffenen Person entstandenen Schaden und drittens einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (EuGH, Urteil vom 4. Mai 2023 - C-300/21 -, GRUR-RS 2023, 8972, Rn. 36, juris).
132(1)
133Zunächst lassen sich Verstöße der Beklagten gegen die DSGVO im Zuge einer Datenverarbeitung feststellen. Als Verstoß kommen materielle und formelle Verstöße in Betracht. Nach Wortlaut und Zielrichtung der Norm muss kein Verstoß gegen in der DSGVO geregelte Datenschutzbestimmungen vorliegen; es genügt vielmehr ein Verstoß gegen die Verordnung selbst (Quaas, BeckOK Datenschutzrecht, 48. Edition, Stand 01.05.2024, Art. 82 DSGVO, Rn. 14). Insoweit ist darauf hinzuweisen, dass nach Art. 5 Abs. 2 DSGVO die Beklagte die Darlegungs- und Beweislast dahin trifft, die betroffenen personenbezogenen Daten entsprechend der DSGVO verarbeitet und nicht gegen die in Art. 5 Abs. 1 DSGVO normierten Grundsätze verstoßen zu haben (OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23 -, Rn. 87 f., beck-online).
134Als personenbezogene Daten der Zedenten waren in den als Anlagen versendeten Excel-Tabellen unstreitig jedenfalls Vor- und Nachname, die Adresse, das Geburtsdatum, der verwendete Impfstoff sowie der Hinweis, dass es sich um die Zweitimpfung handelte, betroffen. Ob darüber hinaus auch die E-Mail-Adressen und/oder die Telefonnummern der Zedenten betroffen waren, bedarf an dieser Stelle noch keiner Erörterung.
135(a)
136Indem ein Mitarbeiter der Beklagten die E-Mail mit den anliegenden Excel-Tabellen versandte, hat die Beklagte zunächst gegen Art. 5 Abs. 1 Buchst. a) und f) DSGVO verstoßen, weil personenbezogene Daten der Zedenten verarbeitet wurden, ohne dass ein Rechtfertigungsgrund nach Art. 6 Abs. 1 UnterAbs. 1 DSGVO vorlag. Der Versand der E-Mail mit den Excel-Tabellen als Anhang war insbesondere nicht zur Vertragszweckerfüllung erforderlich (Art. 6 Abs. 1 UnterAbs. 1 Buchst. b) DSGVO), lag nicht im berechtigten Interesse der Beklagten (Art. 6 Abs. 1 UnterAbs. 1 Buchst. f) DSGVO) und war auch nicht von einer wirksamen Einwilligung der Zedenten gedeckt (Art. 6 Abs. 1 UnterAbs. 1 Buchst. a) DSGVO). Im Übrigen wird auf die diesbezüglichen Ausführungen des Senats in dem zu demselben Datenschutzverstoß ergangenen Urteil vom 20. Januar 2023 – 11 U 88/22 –, Rn. 80 ff., juris, Bezug genommen.
137(b)
138Darüber hinaus hat die Beklagte durch den Versand der E-Mail gegen Art. 9 Abs. 1 DSGVO verstoßen. Insoweit wird zur Begründung auf Rn. 87 ff. in dem Senatsurteil vom 20. Januar 2023, - 11 U 88/22 -, juris, verwiesen.
139(c)
140Der Versand der E-Mail mit den Ecxel-Tabellen stellt zudem einen Verstoß gegen Art. 24, 32 DSGVO dar, wobei diese Vorschriften und die Pflichten aus § 5 Art. DSGVO zusammen zu betrachten sind. Sie sind dahingehend auszulegen, dass wenn Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten weitergegeben haben, dies allein nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen des für die Verarbeitung Verantwortlichen nicht „geeignet“ im Sinne von Art. 24 und 32 DSGVO waren, vgl. EuGH, Urteil vom 25. Januar 2024 – C-687/21 -, GRUR-RS 2024, 530, Rn. 45, beck-online. Der Senat sieht sich mit Blick auf die zwischenzeitlich ergangenen Entscheidungen des Europäischen Gerichtshofs diesbezüglich zu einer Präzisierung seiner Rechtsprechung veranlasst, sodass die Frage eines Verstoßes gegen die sich aus Art. 24, 32 DSGVO ergebende Pflicht, technische und organisatorische Maßnahmen zu treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern (EuGH, Urteil vom 14. Dezember 2023 – C-340/21 –, Rn. 30 ff., juris), hier im Ergebnis nicht mehr dahinstehen kann, sondern dahingehend zu beantworten ist, dass die Beklagte gegen diese Pflicht verstoßen hat.
141Nach der Rechtsprechung des EuGH ist zwar – wie erwähnt – eine unbefugte Offenlegung personenbezogener Daten oder ein unbefugter Zugang zu ihnen durch „Dritte“ i.S.v. Art. 4 Nr. 10 DSGVO allein nicht ausreichend, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ i.S. der Art. 24 und 32 waren. Gleichwohl kann der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, zeigen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 DSGVO waren, weil dies auf Organisationsmängeln des für die Verarbeitung Verantwortlichen beruhen kann, die den mit der Verarbeitung der betreffenden Daten verbundenen Risiken nicht konkret Rechnung tragen. Daraus folgt, dass in einem Rechtsstreit der für die betreffende Verarbeitung Verantwortliche darlegen und beweisen muss, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren (vgl. EuGH, Urteil vom 25. Januar 2024 – C-687/21 -, GRUR-RS 2024, 530, Rn. 40 ff., beck-online).
142Nach diesen Maßstäben ist der Beklagten zwar zuzugeben, dass hier eine besondere Situation vorlag, in der zum einen zügig und nur für kurze Zeit Excel-Dateien erstellt werden mussten, um die E-Mail-Adressen der Impfwilligen zu ermitteln, die von den geänderten Öffnungszeiten des Impfzentrums betroffen waren und deswegen informiert werden sollten, und es zum anderen begünstigt von technischen Schwierigkeiten zu dem versehentlichen Versand der Dateien als E-Mail-Anhang gekommen ist. Ein Verstoß gegen Art. 24, 32 DSGVO liegt aber bereits nach dem Vortrag der Beklagten deshalb vor, weil es nach ihren eigenen Angaben in der mündlichen Verhandlung vor dem erkennenden Senat für derartige besondere Situationen mit technischen Schwierigkeiten keine expliziten Vorgaben für die Mitarbeiter der Koordinierenden Einheit gab. Solche sind von den handelnden Mitarbeitern in der konkreten Situation auch nicht von dem Leiter der Koordinierenden Einheit eingeholt worden, der zudem die Bearbeitung auch nicht kontrolliert hat, um Bearbeitungsfehler zu vermeiden. Mit dem für den Regelbetrieb vorgesehenen „Vier-Augen-Prinzip“ war die Ausnahmesituation ersichtlich nicht sachgerecht zu bewältigen.
143(d)
144Die Beklagte trifft auch ein Verschulden.
145Nach der Rechtsprechung des EuGH ist einer kombinierten Analyse der verschiedenen Bestimmungen von Art. 82 DSGVO zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen (EuGH, Urteil vom 21. Dezember 2023 – C-667/21 -, Rn. 92 ff., juris).
146(aa)
147Im Hinblick auf die Verstöße gegen Art. 5 Abs. 1 Buchst. a) und f) sowie 9 Abs. 1 DSGVO liegt ein der Beklagten zuzurechnendes Verschulden ihrer Mitarbeiter vor, die die E-Mail abgesandt haben. Die allgemeinen Grundsätze des § 278 BGB und der Mitarbeiterhaftung gelten auch hier. Eine Entlastung setzt daher auch voraus, dass die beteiligten Mitarbeiter keinerlei Verschulden trifft (Quaas in BeckOK Datenschutzrecht, 48. Ed. 1. Mai 2024, DSGVO, Art. 82 Rn. 20).
148Das Versenden der E-Mail ohne das vorherige Entfernen der angehängten Excel-Dateien ist zumindest als fahrlässig im Sinne von § 276 Abs. 2 BGB einzustufen. Bei Beachtung der gebotenen Sorgfalt wäre vor dem Absenden der E-Mail zunächst die angehängte Datei bemerkt und dann noch entfernt worden.
149(bb)
150Die Beklagte vermag sich auch hinsichtlich des Verstoßes gegen Art. 24, 32 DSGVO nicht zu entlasten. Der Beklagten ist insofern der Vorwurf einer unzureichenden Organisation zu machen, da sie die die Vorgehensweise bzgl. der Verarbeitung personenbezogener Daten in besonderen Situationen nicht geregelt hatte. Aus Art. 29 DSGVO geht jedoch hervor, dass dem Verantwortlichen unterstellte Personen, wie z. B. seine Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese Daten grundsätzlich nur auf der Grundlage von Weisungen des Verantwortlichen und im Einklang mit diesen Weisungen verarbeiten dürfen. Ferner sieht Art. 32 Abs. 4 DSGVO über die Sicherheit der Verarbeitung personenbezogener Daten vor, dass der Verantwortliche Schritte unternimmt, um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu solchen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet (EuGH, Urteil vom 11. April 2024 – C-741/21 –, Rn. 47 f., juris).
151Im konkreten Fall wäre es somit Sache der Beklagten gewesen, durch organisatorische Maßnahmen im Vorfeld dafür zu sorgen, dass in besonderen Situationen wie der vorliegenden, die im alltäglichen Arbeitsablauf nicht vorkommen und für die es deshalb keine konkreten Weisungen der Beklagten gibt, von ihren Mitarbeitern in der Koordinierenden Einheit vor der Verarbeitung der personenbezogenen Daten Anweisungen – hier zu Art und Weise des Versands der E-Mail – eingeholt werden, deren Einhaltung dann wiederum Verantwortliche der Beklagte zu überprüfen hätten.
152(cc)
153Soweit die Beklagte meint, sich unter Verweis auf § 831 Abs. 1 S. 2 BGB wegen einer sorgfältigen Auswahl und Überwachung ihrer Mitarbeiter entlasten zu können hält der Senat an seiner bereits in dem Urteil vom 20. Januar 2023 geäußerten Auffassung fest, dass eine solche Exkulpationsmöglichkeit mit dem von Art. 82 DSGVO beabsichtigten wirkungsvollen und umfassenden Schadenersatz im Sinne von Erwägungsgrund 146 S. 3 zur DSGVO nicht zu vereinbaren ist (vgl. Senatsurteil vom 20. Januar 2023 – 11 U 88/22 -, Rn. 100, juris).
154(2)
155Aufgrund des Datenschutzverstoßes ist den Zedenten K. und W. ein kausaler Schaden in Höhe von insgesamt 600,00 Euro entstanden.
156Die von der DSGVO verwandten Begriffe „immaterieller“ und „materieller“ Schaden sind unionsautonom auszulegen und setzen nach dem Wortlaut der Norm, der Systematik und dem Telos des Art. 82 Abs. 2, Abs. 1 DSGVO sowie der Art. 77-84 DSGVO und den Erwägungsgründen 75, 85 und 146 DSGVO einen über den schlichten Verstoß gegen die DSGVO hinausgehenden Schaden voraus (EuGH, Urteil vom 4. Mai 2023 – C-300/21 -, Rn. 29-42, juris). Es ist daher im Rahmen des haftungsbegründenden Tatbestands des Art. 82 Abs. 1, Abs. 2 DSGVO zunächst zwischen einem haftungsrelevanten Datenschutzverstoß einerseits und einem Schaden andererseits zu differenzieren. Beide sind nicht deckungsgleich, sondern selbstständige Voraussetzungen im Rahmen des Art. 82 DSGVO, die kumulativ vorliegen müssen (EuGH, Urteil vom 25. Januar 2024 – C-687/21 –, Rn. 58 m.w.Nachw., juris).
157Ein solcher Schaden setzt jedoch nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urteil vom 4. Mai 2023 – C-300/21 -, GRUR-RS 2023, 8972, Rn. 45 ff.). Gleichwohl bedeutet dies nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden i.S.v. Art. 82 DSGVO darstellen (EuGH, Urteil vom 4. Mai 2023 – C-300/21 -, GRUR-RS 2023, 8972, Rn. 50). Entsprechend stellt der EuGH auch darauf ab, dass die finanzielle Entschädigung als „vollständig und wirksam“ im Sinne des sechsten Satzes des 146. Erwägungsgrunds anzusehen ist, wenn der „konkret erlittene Schaden“ vollständig ausgeglichen wird (EuGH, Urteil vom 4. Mai 2023 – C-300/21 -, GRUR-RS 2023, 8972, Rn. 57 f.). Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach der Rechtsprechung des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht (vgl. EuGH, Urteil vom 13. Dezember 2018 – C-150/17 –, Rn. 86, juris; EuGH, Urteil vom 4. April 2017 – C-337/15 -, Rn. 91, beck-online). Die Darlegungs- und Beweislast, dass den jeweiligen Zedenten ein über den Datenschutzverstoß hinausgehender Schaden entstanden ist, trägt die Klägerin (EuGH, Urteil vom 25. Januar 2024 – C-687/21 -, DB 2024, 519, Rn. 61, zitiert über juris).
158Einen materiellen Schaden macht die Klägerin nicht geltend. Ein immaterieller Schaden kann sowohl auf objektiven als auch auf persönlich empfundenen bzw. psychologischen Beeinträchtigungen beruhen.
159(a)
160Soweit die Klägerin als immateriellen Schaden einen durch den Versand der E-Mail mit den anhängenden Excel-Tabellen eingetretenen Kontrollverlust bzgl. der Daten sämtlicher Zedenten geltend macht, ist der Klägerin zwar zuzugeben, dass nach der Rechtsprechung des EuGH ein Kontrollverlust grundsätzlich einen immateriellen Schaden darstellen kann. Insoweit hat der EuGH bereits mehrfach darauf hingewiesen, dass der 85. Erwägungsgrund der DSGVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können (vgl. EuGH, Urteil vom 11. April 2024, - C-741/21 -, Rn. 42, juris; Urteil vom 25. Januar 2024 – C-687/21 -, DB 2024, 519, Rn. 66, zitiert über juris; Urteil vom 14. Dezember 2023 – C-456/22 -, Rn. 22, juris). Soweit die Klägerin insbesondere gestützt auf die zitierte Rechtsprechung des EuGH und die Senatsrechtsprechung in dem Urteil vom 20. Januar 2023 - 11 U 88/22 - die Auffassung vertritt, dass bereits in dem unmittelbar mit dem Datenschutzverstoß einhergehenden Kontrollverlust ein Schaden zu sehen sei, hält der Senat an dieser Auffassung mit Blick auf die nach dem Senatsurteil vom 20. Januar 2023 ergangene, auszugsweise zitierte Rechtsprechung des Europäischen Gerichtshofs, mit welcher der EuGH die Auslegung von Art. 82 DSGVO und insbesondere die Frage, unter welchen Voraussetzungen ein Schaden im Sinne dieser Norm angenommen werden kann, fortwährend konkretisiert hat, nicht länger fest.
161Insofern ist hervorzuheben, dass der EuGH – wie bereits ausgeführt wurde – mittlerweile wiederholt entschieden hat, dass der haftungsrelevante Verstoß gegen Vorschriften der DSGVO einerseits und ein kausal auf dem Datenschutzverstoß beruhender Schaden andererseits eigenständige Voraussetzungen des haftungsbegründenden Tatbestands von Art. 82 Abs. 1, Abs. 2 DSGVO sind, die kumulativ vorliegen müssen (EuGH, Urteil vom 4. Mai 2023 – C-300/21 –, GRUR-RS 2023, 8972, Rn. 32), und dass der Verlust der Kontrolle über personenbezogene Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 dieser Verordnung darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (EuGH, Urteil vom 11. April 2024 – C-741/21 –, Rn. 42, m.w.Nachw., juris). Mit der wiederholten Verwendung des Wortes „kann“ hat der EuGH deutlich gemacht, dass auch ein Kontrollverlust nicht per se einen (immateriellen) Schaden darstellt, sondern gerade auch insoweit ein über den Datenschutzverstoß hinausgehender Schaden konkret nachzuweisen ist. Insofern hat der EuGH ausgeführt, dass zwar der Annahme, dass die Veröffentlichung personenbezogener Daten im Internet und der daraus kurzzeitig resultierende Kontrollverlust den betroffenen Personen ein immaterieller Schaden entstehen könne, nichts entgegenstehe, jedoch müssten die betroffenen Personen den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden erlitten haben (EuGH, Urteil vom 14. Dezember 2022 – C-456/22 -, Rn. 22, juris). Diese Auffassung klarstellend bestätigt hat der EuGH in seiner Entscheidung vom 20. Juni 2024, - C-590/22, Rn. 33 ff., juris. Nach der Entscheidung ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadensersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist (Rn. 36), während die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen nicht zu einem Schadensersatz nach dieser Vorschrift führen kann (Rn. 35).
162Vor dem Hintergrund dieser Rechtsprechung des EuGH schließt sich der Senat der Auffassung des 7. Zivilsenats des OLG Hamm an (OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23 -, Rn. 150 ff., juris), wonach bei einem zwangsläufig zu einem Kontrollverlust führenden Datenschutzverstoß allein aus diesem Kontrollverlust noch kein tatsächlicher Schaden im konkreten Einzelfall resultiert, wenn bzw. weil dieser automatisch bei jedem vom festgestellten Verstoß gegen die DSGVO Betroffenen in Form der Offenlegung/Zugänglichmachung von Daten eintritt. Ein Schaden liegt in solchen Fällen erst dann vor, wenn über den Kontrollverlust als Realisierung des generellen Risikos hinaus im konkreten Einzelfall ein tatsächlicher materieller oder immaterieller Schaden entstanden ist (vgl. in diesem Sinne auch OLG Oldenburg, Urteil vom 21. Mai 2024 – 13 U 100/23 –, Rn. 43 m.w.Nachw., juris).
163Nach diesen Maßstäben ist im vorliegenden Fall in dem durch den Versand der E-Mail unmittelbar entstandenen Kontrollverlust ein Schaden im Sinne von Art. 82 Abs. 1, Abs. 2 DSGVO nicht zu sehen, weil der objektive Kontrollverlust ansich hier lediglich die zwangsläufige und generelle Folge der unrechtmäßigen bzw. unzureichend geschützten Datenverarbeitung durch die Beklagte ist und ein darüber hinausgehender Schaden allein in dem Verlust der Hoheit über die eigenen personenbezogenen Daten noch keinen Schaden darstellt. Hinzu kommen muss bei einem immateriellen Schaden eine weitergehende Beeinträchtigung des vom Kontrollverlust betroffenen Geschädigten, die auch in der bloßen Befürchtung bestehen kann, dass Daten aufgrund des Kontrollverlusts weitergegeben wurden, wobei diese Befürchtung nachgewiesen sein muss, EuGH, Urteil vom 20. Juni 2024, - C-590/22, Rn. 36, juris.
164(b)
165Soweit die Klägerin sich des Weiteren auf einen bei sämtlichen Zedenten entstandenen, über den reinen Kontrollverlust hinausgehenden immateriellen Schaden in Form einer unbefugten Nutzung der Daten durch Dritte, eine öffentliche Bloßstellung, einer Veröffentlichung bzw. Veräußerung der Daten im Darknet sowie eines allgemein bestehenden Risikos einer jederzeit möglichen Weitergabe und späteren Verwendung der Daten beruft, vermag der Senat hierin einen immateriellen Schaden ebenfalls nicht zu erkennen.
166(aa)
167Eine unbefugte Nutzung der unberechtigt weitergegebenen Daten kann einen immateriellen Schaden darstellen. Soweit der Senat in dem Urteil vom 20. Januar 2023 in Bezug auf denselben Datenschutzverstoß in dem Erhalt einer E-Mail von der Europäischen Zentrale für Verbraucherschutz einen immateriellen Schaden erkannt hat (Az. 11 U 88/22 -, Rn. 122, juris), ist dies in den vorliegenden konkreten Einzelfällen jedoch abweichend zu bewerten. In dem von dem Senat bereits entschiedenen Fall stellte die E-Mail der Europäischen Zentrale für Verbraucherschutz einen Schaden dar, weil die betroffene Person die E-Mail unerwünscht erhalten hatte und deren Erhalt auch missbilligte. Dies ist hier anders. Zwar erhielten die Zedenten die E-Mail der Europäischen Zentrale für Verbraucherschutz – soweit sie diese E-Mail überhaupt bekommen haben - zunächst unerwünscht, sie missbilligten den Erhalt der E-Mail jedoch nicht, sondern nutzten die E-Mail, um über einen dort enthaltenen Link zu der Internetseite der G. GmbH – der Muttergesellschaft der Klägerin - zu gelangen, und letztlich gegen die Zahlung eines Entgelts einen Abtretungsvertrag mit der Klägerin abzuschließen. Mit diesem Verhalten haben die Zedenten nach außen deutlich zum Ausdruck gebracht, dass sie den Erhalt der E-Mail der Europäischen Zentrale für Verbraucherschutz befürworteten und haben damit zugleich den Erhalt der E-Mail nachträglich genehmigt. Dies steht der Annahme eines Schadens im vorliegenden Fall entgegen.
168(bb)
169Sofern die Klägerin meint, durch den Versand der E-Mail sei eine öffentliche Bloßstellung der Zedenten, insbesondere in Bezug auf ihre Entscheidung für eine Impfung gegen das SARS-Cov2-Virus, erfolgt, deren Auswirkungen anhand von verschiedenen Aktionen von Impfgegnern erkennbar seien, ist hierin ein immaterieller Schaden der jeweiligen Zedenten im konkreten Einzelfall ebenfalls nicht zu sehen.
170Zunächst ist der Umstand, dass die Daten der betroffenen Personen aufgrund des Versands der E-Mail durch die Beklagte bekannt werden können, unmittelbare Konsequenz des Datenschutzverstoßes und damit noch kein darüber hinausgehender Schaden. Ein solcher könnte allerdings darin zu sehen sein, dass die Daten tatsächlich zur Kenntnis genommen worden sind und sich aus dieser „Bloßstellung“ negative Auswirkungen für die Zedenten ergeben haben. Die bloße Möglichkeit, dass dies passiert und der Umstand, dass es bspw. in Sachsen einen Brandanschlag auf ein Corona-Impfzentrum gegeben hat und ein solcher Anschlag in Österreich versucht worden ist (vgl. S. 21 f. der Klageschrift vom 23. November 2021, Bl. 21 f. LG-Akte), stellt im Hinblick auf die jeweiligen Zedenten, die – soweit ersichtlich – selbst von diesen Ereignissen nicht betroffen gewesen sind, keinen Schaden dar.
171Auch im Zusammenhang mit der Berichterstattung der H.-Redaktion ist eine einen immateriellen Schaden begründende öffentliche Bloßstellung der Zedenten nicht zu sehen. Zwar hat die H.-Redaktion am 00.00.2021 auf ihrer Internetpräsenz über den Datenschutzverstoß berichtet und in den Online-Artikel die Ablichtung einer Excel-Tabelle eingefügt, dass es sich bei diesem Ausschnitt einer Excel-Tabelle jedoch um eine der hier streitgegenständlichen Excel-Dateien gehandelt hätte, lässt sich nicht feststellen, da die Daten von der H.-Redaktion unkenntlich gemacht worden sind. Dass der H.-Redaktion die von der Beklagten versendeten Excel-Dateien tatsächlich vorgelegen haben, ist im Übrigen von der Beklagten bestritten und seitens der Klägerin nicht bewiesen worden. Letztlich kann dies auch offen bleiben, weil den Zedenten durch die Berichterstattung der H.-Redaktion ein Schaden nicht entstanden ist. Die H.-Redaktion hat die einzelnen Daten aus den Excel-Dateien weder im Rahmen der Berichterstattung noch auf anderem Wege verwendet, sondern lediglich über den Datenschutzverstoß der Beklagten berichtet. Da in der gesamten Berichterstattung die von dem Datenschutzverstoß Betroffenen nicht namentlich genannt wurden, ist mit der Berichterstattung eine öffentliche Bloßstellung der Zedenten ebenfalls nicht verbunden gewesen.
172(cc)
173Soweit die Klägerin unterstellt, dass anzunehmen sei, dass die Daten der von dem Datenschutzverstoß Betroffenen mittlerweile im sog. Darknet veröffentlicht bzw. zum Kauf angeboten worden seien, ist dies eine Behauptung der Klägerin geblieben, für die es jedoch keine greifbaren tatsächlichen Anhaltspunkte oder gar Belege gibt. Zwar ist eine Veröffentlichung oder Veräußerung der Daten – auch im Darknet – selbstverständlich möglich, es kann jedoch ohne konkreten Vortrag zu den Daten der jeweiligen Zedenten nicht davon ausgegangen werden, dass eine Veröffentlichung oder Veräußerung der Daten der jeweiligen Zedenten tatsächlich erfolgt wäre. Die bloße Möglichkeit einer solchen Veröffentlichung bzw. Veräußerung der Daten ist wiederum unmittelbare Konsequenz des Datenschutzverstoßes und damit noch kein darüber hinausgehender Schaden.
174(dd)
175Letztlich stellt auch das allgemein bestehende Risiko einer jederzeit möglichen Weitergabe und späteren Verwendung der Daten der Zedenten keinen Schaden dar.
176Das Risiko einer möglichen Weitergabe und Verwendung der Daten ist dem mit dem Datenschutzschutzverstoß unmittelbar einhergehenden Kontrollverlust immanent und stellt deshalb, solange die Klägerin nicht nachweist, dass den Zedenten über dieses Risiko hinaus ein Schaden entstanden ist, keinen eigenständigen Schaden dar.
177Im Übrigen ist zu bedenken, dass im für die Beurteilung des Vorliegens eines immateriellen Schadens relevanten Zeitpunkt des Schlusses der mündlichen Verhandlung seit dem streitgegenständlichen Datenschutzverstoß bereits ein Zeitraum von zwei Jahren und neun Monaten vergangen ist, sodass das Risiko, dass es nunmehr noch zu einer Weitergabe bzw. Verwendung der Daten kommt, als äußerst gering und wohl nicht mehr konkret zu bewerten ist.
178(c)
179Soweit die Klägerin in Bezug auf 34 Zedenten konkret zu einem über den unmittelbaren Kontrollverlust hinausgehenden Schaden vorgetragen hat, vermochte sie nach dem Ergebnis der vor dem Senat durchgeführten Beweisaufnahme einen über den unmittelbar mit dem Datenschutzverstoß verbundenen Kontrollverlust hinaus eingetretenen haftungsbegründenden Schaden nur hinsichtlich der Zedenten K. und W. mit dem Beweismaß des § 286 ZPO (OLG Dresden, Urteil vom 9. April 2024 – 4 U 1743/23 –, Rn. 46, juris; OLG Celle, Urteil vom 4. April 2024 – 5 U 31/23 –, Rn. 84, juris; OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23 -, Rn. 162, juris) zu beweisen. Nachdem die Klägerin auf die zeugenschaftliche Vernehmung der Zedenten OZ. und DD. verzichtet hat, ist ihr die Beweisführung hinsichtlich der weiteren 30 Zedenten weder hinsichtlich objektiver Beeinträchtigungen noch in Bezug auf persönlich empfundene bzw. psychologische Beeinträchtigungen gelungen.
180Hinsichtlich der weiteren über 400 verbliebenen Zedenten hat die Klägerin konkrete, im Einzelfall über den mit dem Datenschutzverstoß untrennbar verbundenen Kontrollverlust hinausgehende Schäden nicht hinreichend dargelegt. Der pauschale Vortrag zu allen Zedenten wird den an einen hinreichend substantiierten Vortrag zu stellenden Anforderungen nicht gerecht. Es geht um die Auswirkungen des mit dem Datenschutzverstoß verbundenen Kontrollverlusts auf den einzelnen Betroffenen, die nur mit einem konkreten Vortrag hinsichtlich des Einzelnen hinreichend dargetan und nachvollziehbar sind. Die zusammenfassende Umschreibung auch von Empfindungen und Befürchtungen bleibt pauschal und oberflächlich, so dass der Senat hierzu nicht Beweis erhoben hat und mangels hinreichenden Vortrags auch nicht zu erheben hatte.
181In Bezug auf die 32 Zedenten, die vom Senat als Zeugen gehört wurden, ergibt sich Folgendes:
182(aa)
183Den Zedenten K. und W. ist zur vollen Überzeugung des Senats (§ 286 ZPO) ein kausal auf dem Datenschutzverstoß beruhender immaterieller Schaden entstanden.
184Die volle Überzeugung des Gerichts erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet (BGH, Urteil vom 23. Juni 2020 – VI ZR 435/19 –, Rn. 13, juris). Der Tatrichter muss aufgrund der Beweisaufnahme entscheiden, ob er die Behauptung für wahr oder nicht für wahr hält; er darf sich nicht mit einer bloßen, wenn auch erheblichen Wahrscheinlichkeit begnügen (BGH, Urteil vom 1. Oktober 2019 – VI ZR 164/18 –, Rn. 9, juris). Dabei hat der Tatrichter gem. § 286 ZPO die vorgetragenen Beweisanzeichen/Indizien unter Würdigung aller maßgeblichen Umstände des Einzelfalls auf der Grundlage des Gesamtergebnisses der Verhandlung und einer etwaigen Beweisaufnahme zu prüfen. Entscheidend ist die Werthaltigkeit der Beweisanzeichen in der Gesamtschau, nicht die isolierte Würdigung der einzelnen Umstände (vgl. OLG Hamm, Urteil vom 17. März 2020 – 7 U 86/19 -, Rn. 66, juris).
185Dem Zeugen K. ist ein solcher Schaden in Form von unerwünschten Spam-Anrufen und der konkreten und berechtigten Sorge, dass Rechtsradikale bzw. Impfgegner seine Daten erhalten könnten, entstanden. Insofern hat der Zeuge glaubhaft ausgesagt, in der von der Beklagten versandten E-Mail seien neben den unstreitig enthaltenen Daten auch seine Telefonnummer sowie seine E-Mail-Adresse enthalten gewesen. Während er bei seiner E-Mail-Adresse keine Auswirkungen des Datenschutzverstoßes – bspw. in Form eines erhöhten Aufkommens von Spam-Mails – bemerkt habe, habe er etwa zwei Wochen nach dem Datenschutzverstoß Spam-Anrufe unter einer anderen Landesvorwahl erhalten. Diese Anrufe hätten innerhalb der folgenden Wochen stark zugenommen, sodass er seine Telefonnummer gewechselt habe. Darüber hinaus habe er Sorge gehabt, dass seine Daten in die Hände einer in seinem Stadtteil stark verbreiteten rechtsextremistischen Szene gelangen könnten, aus der einige Personen bereits zuvor ein Impfzentrum angegangen seien. Insgesamt sei er erbost über den Fehler der Beklagten gewesen und habe sich gewisse Sorgen gemacht. Mehr aber auch nicht.
186Die Aussage des Zeugen K. ist glaubhaft. Der Zeuge vermochte die Auswirkungen des Datenschutzverstoßes in den wesentlichen Zügen zu seinen Angaben in der E-Mail an die Klägerin vom 12.12.2022 konstant und seine diesbezüglichen Empfindungen sachlich, plausibel und frei von Übertreibungen darzustellen. Der Senat ist zudem davon überzeugt, dass die bei dem Zeugen eingegangenen Spam-Anrufe in einem kausalen Zusammenhang mit dem Datenschutzverstoß stehen. Zwar hat der Zeuge nicht bekundet, seine Telefonnummer ausschließlich für die Anmeldung beim Impfzentrum der Beklagten verwendet zu haben, gleichwohl ist aus Sicht des Senats der sehr enge zeitliche Zusammenhang von nur circa zwei Wochen zwischen dem Datenschutzverstoß und dem Beginn der Spam-Anrufe ein starkes Indiz, auf das der Senat seine Überzeugung stützt.
187Der Zeugin W. ist ein immaterieller Schaden durch den Erhalt einer unerwünschten E-Mail von einer fremden Person entstanden. Die Zeugin hat angegeben, sie habe sich bei dem Impfzentrum neben den unstreitig enthaltenen Daten mit ihrer E-Mail-Adresse registriert, ob sie zusätzlich noch eine Handynummer angegeben habe, wisse sie nicht mehr. Am 17. August 2021 habe sie von der ihr unbekannten E-Mail-Adresse N01 eine E-Mail – die von dem Senat in Augenschein genommen worden ist – mit dem Inhalt „Na wie geht’s dir nach deiner 2. Impfung? Schon ein zweiter Arm gewachsen?“ erhalten. Den Erhalt der E-Mail habe sie eher locker gesehen, es habe ihr gezeigt, dass man mit seinen Daten vorsichtig umgehen müsse. Ob sie wegen des Datenschutzverstoßes weitere Spam-Mails bekommen habe, könne sie hingegen nicht sagen, weil die verwendete E-Mail-Adresse ihre einzige ist, die sie auch für soziale Netzwerke und Bestellungen im Internet verwende. Der Datenschutzverstoß habe sie enttäuscht, da der Fehler sehr einfach zu vermeiden gewesen wäre. Sorgen wegen ihrer Daten habe sie jedoch nicht, sie gehe davon aus, dass da nichts passieren werde.
188Die Aussage der Zeugin W. ist ebenfalls glaubhaft. Die Zeugin hat den Inhalt der unerwünscht erhaltenen E-Mail und den zeitlichen Ablauf sachlich und nachvollziehbar dargestellt und den Inhalt der E-Mail sowie den Absender als auch den Zeitpunkt ihres Eingangs auf ihrem Nutzerkonto durch das Vorzeigen der E-Mail belegt. Ihre weiteren Angaben wiesen zudem keine Belastungstendenz gegenüber der Beklagten auf, da sie insbesondere angegeben hat, ihre E-Mail-Adresse auch für soziale Netzwerke und Bestellungen im Internet zu verwenden und sie deshalb keinen Zusammenhang zwischen weiteren Spam-Mails und dem Datenschutzverstoß herstellen könne. Auch ihre Angaben zu ihren Gefühlen und waren für den Senat uneingeschränkt plausibel.
189(bb)
190Soweit die Klägerin den Eintritt eines über den mit dem Datenschutzverstoß direkt verbundenen Kotrollverlusts hinausgehenden kausalen Schadens in Form von objektiven Beeinträchtigungen hinsichtlich der Zedenten I., N., IS., YK., RH., GU., S., KU., GS., D., U., T., O., GZ., KR., DM., L., E., V., RE., F., Y., A., SE., B., UQ., BA., J., HW. und AE. konkret behauptet hat, vermochte sie einen solchen nicht zu beweisen.
191So fehlt es bei einem Teil der als Zeugen von dem Senat angehörten Zedenten bereits an einer hinreichenden Schilderung von spürbaren Auswirkungen des Datenschutzverstoßes. Die übrigen Zeugen haben wiederum zwar Auswirkungen des Datenschutzverstoßes beschrieben, insoweit vermochte der Senat aber nicht zu seiner vollen Überzeugung festzustellen, dass diese von den Zeugen benannten Auswirkungen kausal auf den Datenschutzverstoß zurückführen sind.
192Insbesondere haben die Zeugen O., Y., V., B. und J. angegeben, nach dem Datenschutzverstoß keine Auswirkungen wahrgenommen, insbesondere keinen Anstieg von Spam-Mails, Spam-SMS oder unerwünschten Anrufen bemerkt zu haben.
193Ferner hat die Zeugin UQ. bekundet, sich nicht mehr daran erinnern zu können, ob sie ihre E-Mail-Adresse und eine Handynummer angegeben habe. Sie gehe allerdings davon aus, ihre E-Mail-Adresse zur Registrierung verwendet zu haben, da sie später per E-Mail kontaktiert worden sei. Auswirkungen des Datenschutzverstoßes habe sie hingegen nicht bemerkt. Es sei zwar so, dass es immer mal wieder wellenmäßig Spam-Mails oder Anrufe gebe, die könne sie aber nicht mit der Datenpanne Verbindung bringen.
194Auch der Zeuge HW. hat angegeben, er bekomme durchgängig Spam-Mails und auch SMS, aber nur wenige Anrufe. Ob dies nach dem Datenschutzverstoß mehr geworden sei, könne er nicht sagen, da er die E-Mails und SMS einfach lösche.
195Der Zeuge FF. hat bekundet, er sei in der Folgezeit nicht betroffen gewesen, er habe zwar Spam-Mails erhalten, die bekomme er aber immer. Anrufe habe er nicht erhalten. Ähnlich äußerte sich auch der Zeuge RE., der zwar angegeben hat, dass er keine Anrufe, wohl aber regelmäßig Spam-Mails erhalte und dies nach seinem Gefühl mehr geworden sei. Dies reicht jedoch nicht aus, um konkrete Auswirkungen des Datenschutzverstoßes zu benennen, da es den Angaben des Zeugen an der Beschreibung von konkreten Umständen mangelt, an denen sich die von ihm gefühlt wahrgenommenen Auswirkungen objektiven lassen würden.
196Des Weiteren hat der Zeuge S. angegeben, dass er viele Phishing-Mails erhalte, was aber daran liegen könne, dass er seine E-Mail-Adresse auch schon vor dem Datenschutzverstoß sehr häufig im Internet benutzt habe. Der Erhalt von Phishing-Mails sei ungefähr ab 2021 gestiegen, über das Telefon erhalte er Phishingversuche aber erst seit 2023. Er denke selbst, dass sich die Auswirkungen nur schwer an dem Datenschutzverstoß festmachen ließen. Nach den Angaben des Zeugen konnte ein kausaler Zusammenhang weder zwischen den erhaltenen Phishing-Mails noch den telefonischen Phishingversuchen und dem Datenschutzverstoß bewiesen werden. Die Anrufe begannen erst zwei Jahre nach dem Vorfall, was bereits gegen einen Zusammenhang spricht, und bzgl. der E-Mails ist, da der Zeuge die E-Mail-Adresse sehr häufig im Internet verwendet hat, nicht feststellbar, dass – und wenn ja, welche – Phishing-Mails aufgrund des Datenschutzverstoßes an den Zeugen versendet wurden.
197Die Zeugin U. hat ausgesagt, sie habe nach dem Vorfall zwar Spam-Mails bekommen, aber vorher auch. Ob die Spam-Mails wegen des Vorfalls gekommen seien, könne sie nicht sagen.
198Der Zeuge T. hat zwar bekundet, er habe die E-Mail-Adresse für seinen HA.-Account wegen diverser versuchter Fremdzugriffe ändern müssen. Dass dies aufgrund des Datenschutzverstoßes erforderlich gewesen wäre, konnte jedoch nicht festgestellt werden, weil der Zeuge darüber hinaus angegeben hat, seine E-Mail-Adresse – auch schon vor dem Datenschutzverstoß – eigentlich für alles im Internet zu benutzen, auch für soziale Netzwerke. Vor dem Hintergrund dieser vielfältigen Nutzung der E-Mail-Adresse durch den Zeugen lässt sich ein Bezug der versuchten Fremdzugriffe zu dem streitgegenständlichen Datenschutzverstoß nicht zur Überzeugung des Senats belegen.
199Auch aufgrund der Aussage der Zeugin N. konnte eine Kausalität zwischen den behaupteten Auswirkungen und dem Datenschutzverstoß nicht festgestellt werden. Zwar hat die Zeugin ausgesagt, sie habe nach dem Vorfall mehr Spam-Mails bekommen, auch von ihr fremden Unternehmen, und es habe einige Zeit beansprucht, sich wieder von sämtlichen Listen zu löschen. Jedoch hat die Zeugin ferner angegeben, ihre E-Mail-Adresse auch für andere Dienste und insbesondere auch für die Arbeit zu nutzen, sodass die Möglichkeit besteht, dass ihre E-Mail-Adresse auch auf anderen Wegen in die Mailing-Listen gekommen ist. Einen so engen zeitlichen Zusammenhang zu dem Datenschutzverstoß, dass die Kausalität naheliegend erscheint, hat die Zeugin zudem nicht benannt.
200Auch hinsichtlich der Zeugin L. konnte ein kausal auf dem Datenschutzverstoß beruhender immaterieller Schaden nicht festgestellt werden. Die Zeugin hat angegeben, unter anderem auch ihre E-Mail-Adresse und ihre Handynummer bei dem Impfzentrum angegeben zu haben, wobei sie sich auf Nachfrage des Beklagtenvertreters hinsichtlich der Telefonnummer nicht mehr ganz sicher gewesen ist. Sie erhalte Spam-Mails und gelegentlich auch unerwünschte Werbeanrufe, ob diese aufgrund des Datenschutzverstoßes gekommen seien, wisse sie aber nicht. Sie habe sowohl vorher als auch nachher Spam-Mails und Werbeanrufe erhalten.
201Dies gilt gleichermaßen für die Zeugin E.. Die Zeugin gab ebenfalls an, eine E-Mail-Adresse und eine Handynummer bei dem Impfzentrum angegeben zu haben, sie könne allerdings nicht sagen, ob sie nach dem Vorfall mehr Spam bekommen habe, da sie vorher auch bereits jeden Tag Spam-Mails erhalten habe. Unerwünschte Anrufe habe sie nicht bekommen. Zudem nutze sie ihre Daten, insbesondere ihrer E-Mail-Adresse, auch für soziale Medien und Einkäufe im Internet und es habe einen Hacker-Angriff auf die Universität LA.-C. gegeben, bei dem ihre Daten ebenfalls verloren gegangen seien.
202Der Zeuge F. hat zwar ebenfalls angegeben, insbesondere seine E-Mail-Adresse und seine Handynummer bei dem Impfzentrum angegeben zu haben und es sei auch so, dass er mittlerweile mehr Spam-Mails und Anrufe von Marktforschungsunternehmen erhalte. Dies sei vor dem Datenschutzverstoß jedoch auch schon vereinzelt der Fall gewesen. Ob ein Zusammenhang mit dem Datenschutzverstoß bestehe, könne er deshalb nicht sagen, zumal er seine Daten auch für soziale Medien sowie für Bestellungen im Internet nutze bzw. genutzt habe.
203Dies gilt auch für die Zeugin KR., die ausgesagt hat, sie sei zwar mit ihrer E-Mail-Adresse und ihrer Telefonnummer beim Impfzentrum registriert gewesen, nutze diese Daten aber auch für soziale Medien und Bestellungen im Internet, sodass sie nur schwer sagen könne, ob sich der Datenschutzverstoß bei ihr ausgewirkt habe, zumal sie Phishing-Mails, SMS und unerwünschte Anrufe auch schon vor dem Vorfall erhalten habe.
204Der Zeuge A. hat zwar bekundet, seine E-Mail-Adresse und möglicherweise auch seine Handynummer bei dem Impfzentrum angegeben zu haben, er könne aber weder Spam-Mails oder unerwünschte Anrufe mit dem Datenschutzverstoß in Verbindung bringen. Er sei mit seinen Daten auch bei sozialen Medien angemeldet und habe bemerkt, dass es immer mal wieder Wellen von Spam gegeben habe, wobei es in den letzten zwei bis drei Jahren einen Anstieg gegeben habe. Er selbst gehe eher davon aus, dass er in zu vielen sozialen Netzwerken angemeldet gewesen sei.
205Ferner hat der Zeuge AE. zwar angegeben, er habe etwa zwei Monate nach dem Datenschutzverstoß einen erheblichen Anstieg von Spam-Mails auf seiner bei dem Impfzentrum angegebenen E-Mail-Adresse festgestellt, eine Kausalität zwischen diesen beiden Ereignissen ließ sich jedoch nicht feststellen, weil der Zeuge ferner ausgesagt hat, er sei mit dieser E-Mail-Adresse auch in sozialen Netzwerken angemeldet und nutze sie für Bestellungen im Internet, sodass die E-Mail-Adresse des Zeugen auch dort abhanden gekommen sein kann. Der zeitliche Abstand von zwei Monaten zwischen dem Datenschutzverstoß und dem Feststellen eines Anstiegs der Spam-Mails ist darüber hinaus nicht so eng, dass sich eine Kausalität hierauf zur Überzeugung des Senats stützen lässt.
206Dies gilt auch für die Zeugin DM., die zwar bestätigt hat, insbesondere auch ihre E-Mail-Adresse und ihre Handynummer bei dem Impfzentrum angegeben zu haben, zugleich hat sie allerdings auch ausgesagt, dass sie vor dem Datenschutzverstoß auch schon Spam-Mails und SMS bekommen habe, sie mit ihren Daten in sozialen Medien aktiv sei und sie ihre Daten auch für Bestellungen und Einkäufe im Internet nutze. Auch auf Grundlage dieser Aussage lässt sich die Kausalität nicht zur Überzeugung des Senats feststellen.
207Dies gilt gleichermaßen für den Zeugen BA., der zwar ebenfalls angegeben hat, er habe sich insbesondere mit einer E-Mail-Adresse und seiner Telefonnummer bei dem Impfzentrum registriert. Allerdings hat er darüber hinaus bekundet, er sei mit dieser E-Mail-Adresse und seiner Handynummer auch vor dem Datenschutzverstoß in sozialen Netzwerken aktiv gewesen und habe etwa Mitte des Jahres 2022 bemerkt, dass er häufiger Spam-SMS bekomme. Aufgrund der Nutzung seiner Daten in sozialen Netzwerken sowie dem längeren zeitlichen Abstand zwischen dem streitgegenständlichen Datenschutzverstoß und der Häufung der Spam-SMS konnte der Senat eine Kausalität zwischen diesen Ereignissen nicht feststellen.
208Der Zeuge D. hat ausgesagt, er habe nach dem Vorfall Spam-Mails erhalten und nutze die für das Impfzentrum verwendete E-Mail-Adresse ansonsten nicht. Diese Angaben sind jedoch zu pauschal, um einen konkreten, auf dem Datenschutzverstoß beruhenden immateriellen Schaden feststellen zu können. Insoweit wären zumindest konkrete Angaben dazu erforderlich gewesen, ab wann er genau wie viele Spam-Mails erhalten hat, sowie ob, und wenn ja in welchem Umfang, er vorher Spam-Mails erhalten hat. Zudem erscheint dem Senat nicht nachvollziehbar, dass der Zeuge gerade für die Anmeldung bei dem Impfzentrum eine E-Mail-Adresse benutzt haben will, die er ansonsten überhaupt nicht nutzt.
209Der Zeuge I. konnte sich zwar daran erinnern, eine E-Mail-Adresse angegeben zu haben, aber nicht mehr sicher sagen, welche. So schilderte der Zeuge erst vermeintliche Auswirkungen unter einer E-Mail-Adresse, räumte dann auf Vorhalt des Beklagtenvertreters aber ein, dass auch sein könne, dass er eine andere E-Mail-Adresse verwendet habe, bei der keine Auswirkungen festzustellen gewesen seien. Zudem habe er seine Festnetznummer bei dem Impfzentrum angegeben, unter der er nun mehr Werbeanrufe erhalte. Da der Zeuge jedoch auch angegeben hat, bereits vor dem Datenschutzverstoß derartige Anrufe unter dieser Nummer erhalten zu haben, war auch insoweit eine Kausalität nicht festzustellen.
210Auch bzgl. des Zeugen SE. ließ sich eine Kausalität nicht feststellen. Er hat bekundet, er sei unter anderem mit seiner E-Mail-Adresse und möglicherweise auch mit seiner Festnetznummer bei dem Impfzentrum registriert gewesen, ob der Erhalt von Spam-Mails und Werbeanrufen mit dem Datenschutzverstoß zusammenhängen würden, könne er jedoch nicht sagen, da er solche auch schon vor dem Datenschutzverstoß erhalten habe.
211Das gleiche gilt im Ergebnis auch für den Zeugen GU.. Dieser hat zunächst ausgesagt, er sei sich ziemlich sicher, dass er seine E-Mail-Adresse beim Impfzentrum angegeben habe. Er habe an diese E-Mail-Adresse später auch eine E-Mail von der Europäischen Zentrale für Verbraucherschutz erhalten. Ob er darüber hinaus weitere unerwünschte Mails bekommen habe, konnte er jedoch nicht sagen, da sein Spam-Ordner regelmäßig automatisch gelöscht werde. Soweit der Zeuge überdies zunächst Angaben zu dem Erhalt von Phishing-SMS gemacht hat, so hat er, nachdem ihm der Beklagtenvertreter die Telefonnummer vorgelesen hat, die nach den Unterlagen der Beklagten von ihm für die Registrierung beim Impfzentrum von genutzt worden ist, eingeräumt, dass es sich dabei um seine alte Handynummer handele, über die er keine Phishing-SMS erhalten habe. Das Gericht ist auch davon überzeugt, dass der Zeuge mit dieser (alten) Handynummer bei dem Impfzentrum registriert war, weil sonst nicht ersichtlich ist, woher die Beklagte die exakte elfstellige alte Handynummer des Zeugen kennen sollte. Die auf den Vorhalt des Beklagtenvertreters erfolgten Angaben des Zeugen sind entgegen der Ansicht der Klägerin auch verwertbar. Insoweit geht der Senat aufgrund des Bestreitens der Klägerin nicht davon aus, dass die Vorhalte des Beklagtenvertreters inhaltlich zutreffend sind. Sofern der Zeuge aber – wie hier – einräumt, dass die ihm vorgehaltene Telefonnummer seine alte Handynummer ist, kann die Richtigkeit des Vorhalts jedenfalls insoweit als bewiesen angesehen werden.
212Auch durch den Zeugen GZ. vermochte die Klägerin einen bei diesem kausal durch den Datenschutzverstoß entstandenen immateriellen Schaden nicht zu beweisen. Der Zeuge hat angegeben, er sei bei OK., HR. und HL. angemeldet und habe bei OK. auch seine Handynummer hinterlegt, zudem nutze er seine E-Mail-Adresse und die Handynummer auch bei GC. und für andere Bestellungen im Internet. Etwa sechs bis acht Monate nach dem Datenschutzverstoß habe er zahlreiche Anrufe von Personen aus C. und der Umgebung erhalten. Eine Baufirma habe in zwei Wochen mit Bauarbeiten auf seinem Grundstück beginnen wollen, und eine Frau habe ihm erzählt, dass sie auch ständig angerufen werde. Er habe deshalb im Sommer 2022 seine Handynummer gewechselt. Aufgrund der vielfältigen Nutzung seiner Daten im Internet konnte sich der Senat allerdings nicht davon überzeugen, dass die Anrufe in einem Zusammenhang mit dem Datenschutzverstoß stehen, zumal der Beginn der Anrufe frühestens erst sechs Monate nach dem Datenschutzverstoß einen solchen Zusammenhang auch nicht naheliegend erscheinen lässt.
213Dies gilt ebenso auch für den Zeugen KU.. Dieser hat zwar angegeben, er habe sich jedenfalls mit einer E-Mail-Adresse beim Impfzentrum registriert und auf dieser auch Spam-Mails erhalten, könne aber nicht sagen, ob diese auf den Datenschutzverstoß zurückzuführen seien. Dass er sich Ende 2022 eine neue E-Mail-Adresse besorgt habe, stehe auch in keinem Zusammenhang mit Spam-Mails oder dem Datenschutzverstoß. Zwar hat der Zeuge ferner angegeben, viele Anrufe aus C., VH. und der Umgebung auf seinem Handy erhalten zu haben, insoweit konnte der Senat jedoch nicht feststellen, dass der Zeuge seine Handynummer bei dem Impfzentrum angegeben hat. Dies hat der Zeuge zwar zunächst bekundet und erklärt auf den Vorhalt des Beklagtenvertreters, dass er nach den Unterlagen der Beklagten eine Telefonnummer nicht angegeben habe, „zu 75 %“ bei dieser Aussage zu bleiben, jedoch erschien dem Senat die gesamte Aussage des Zeugen nur bedingt glaubhaft. So hat der Zeuge zunächst angegeben, sich sicher zu sein, sich mit der E-Mail-Adresse N02 bei dem Impfzentrum registriert zu haben. Nachdem ihm der Beklagtenvertreter eine abweichende E-Mail-Adresse vorgelesen und ihm vorgehalten hat, dass diese Adresse bei dem Impfzentrum hinterlegt gewesen sei, hat der Zeuge bestätigt, dass auch diese E-Mail-Adresse zu ihm gehöre und er nicht sicher sagen könne, mit welcher er sich registriert habe. Dies widerspricht zudem seiner Aussage, dass er sich erst Ende 2022 die neue E-Mail-Adresse besorgt haben will und zeigt insgesamt, dass die Erinnerung des Zeugen an den Registrierungsvorgang und die Nutzung seiner E-Mail-Adresse – mit Blick auf den zeitlichen Abstand zwischen der Registrierung und seiner Zeugenaussage gut nachvollziehbar – unklar und verwässert erscheint, sodass dem Senat die Aussage, er habe zu 75 % bei der Online-Abfrage des Impfzentrums eine Telefonnummer angegeben, im Ergebnis nicht zur Überzeugung ausreicht, da auch diesbezüglich eine Verwässerung der Erinnerung naheliegend erscheint und keine besonderen Umstände - wie bspw. eine bzgl. der erhaltenen Anrufe besonders detailreiche Aussage – vorliegen, die die Glaubhaftigkeit seiner Aussage insgesamt stützen würden. Insbesondere enthält die E-Mail des Zeugen an die Klägerin vom 12. Dezember 2022 (Bl. 1287 LG-Akte) überhaupt keine Aussage dazu, dass der Zeuge sich eine neue E-Mail-Adresse besorgt oder unerwünschte Anrufe bekommen hätte, was jedoch zu erwarten gewesen wäre, weil die Klägerin explizit nach derartigen Auswirkungen gefragt hat. Überdies bleibt auch die Kausalität zwischen den Anrufen und dem Datenschutzverstoß unklar, da der Zeuge auch in sozialen Medien aktiv ist und seine Handynummer zumindest auch bei GN. hinterlegt war.
214Darüber hinaus vermochte der Senat auch auf Grundlage der Aussage der Zeugin YK. einen kausal auf dem Datenschutzverstoß beruhenden immateriellen Schaden nicht festzustellen. Zwar hat die Zeugin angegeben, sie habe sich insbesondere auch mit ihrer E-Mail-Adresse und ihrer Telefonnummer bei dem Impfzentrum registriert. Auf Vorhalt des Beklagtenvertreters, dass sie nach den Unterlagen der Beklagten ihre Telefonnummer nicht angegeben habe, hat sie hingegen ausgesagt, dass sie es – nachvollziehbar – nicht mehr so genau wisse, weil der Vorfall schon so lange zurückliege. Aufgrund dieser auf den Vorhalt des Beklagtenvertreters getätigten und verwertbaren (siehe oben) Aussage der Zeugin vermag der Senat schon nicht nach dem strengen Beweismaß des § 286 ZPO festzustellen, dass die Zeugin sowohl ihre E-Mail-Adresse als auch ihre Telefonnummer zur Registrierung beim Impfzentrum der Beklagten verwendet hat.
215Unabhängig davon erscheint die Aussage der Zeugin YK. allerdings auch wenig glaubhaft. Denn die Zeugin hat gegenüber dem Senat bekundet, sie habe bei ihrer E-Mail-Adresse keine Auswirkungen bemerkt, allerdings habe es viele unerwünschte Anrufe über die von ihr angegebene Telefonnummer gegeben. Ihr Handy habe wochenlang nicht mehr stillgestanden, und auch heute bekomme sie noch Nachrichten und alle drei bis vier Tage Anrufe über GN.. Dabei handele es sich beispielsweise um einen Anruf von WQ., sie gehe aber auch meist nicht an das Telefon. Es habe einen Hochpunkt bezüglich der Anrufe gegeben, da habe ihr Telefon nicht mehr stillgestanden und sie habe es wegsperren müssen. Dennoch habe sie sich keine neue Handynummer besorgt. Der Senat hegt bereits deshalb Zweifel an der Aussage der Zeugin, weil wenig nachvollziehbar erscheint, weshalb die Zeugin bei einer derart starken Belästigung durch unerwünschte Anrufe nicht einen Wechsel ihrer Handynummer in Betracht gezogen hat. Des Weiteren spricht auch die nur gering ausgeprägte Konstanz gegen die Glaubhaftigkeit der Aussage der Zeugin. Denn die Zeugin hat in ihrer E-Mail an die Klägerin vom 1. Dezember 2022 ausgeführt, dass sie regelmäßig per E-Mail, Telefon oder auch SMS seit dem Datenschutzverstoß terrorisiert werde. Diese schriftlichen Angaben der Zeugin widersprechen jedoch ihrer vor dem Senat getätigten Aussage hinsichtlich des Empfangs von Spam-Mails in einem wesentlichen Aspekt, was die Glaubhaftigkeit ihrer Aussage insgesamt in Zweifel zieht.
216Auch in Bezug auf die Zeugin IS. kann der Senat einen kausal auf dem Datenschutzverstoß beruhenden immateriellen Schaden nicht feststellen. So erscheint zunächst bereits fraglich, mit welchen Daten sich die Zeugin bei dem Impfzentrum registriert hat. Denn nachdem die Zeugin zunächst bekundet hat, sie habe sich auch mit ihrer E-Mail-Adresse und ihrer Handynummer bei dem Zentrum registriert, so musste sie auf Vorhalt des Beklagtenvertreters einräumen, dass es auch sein könne, dass sie sich über eine andere E-Mail-Adresse von ihrer Universität registriert habe, weil sie sich zuerst über die Uni bei dem Impfzentrum gemeldet habe. Weiterhin sei sie sich nicht sicher, ob sie eine Telefonnummer angegeben habe, sie gehe aber davon aus, weil dies so üblich sei. Auf Grundlage dieser Aussage der Zeugin vermag sich der Senat bereits nicht die Überzeugung zu bilden, dass die Zeugin tatsächlich die von ihr zunächst genannte E-Mail-Adresse und ihre Telefonnummer bei dem Impfzentrum angegeben hat. Die auf Vorhalt des Beklagtenvertreters erfolgte Aussage ist verwertbar (siehe oben) und insoweit auch glaubhaft, weil die Zeugin sich an den Kontext erinnern konnte, dass sie sich zunächst über die Universität bei dem Impfzentrum gemeldet hat. In Bezug auf die Angabe ihrer Handynummer fehlt es der Aussage der Zeugin zudem an der Schilderung von konkreten Umständen, die es naheliegend erscheinen lassen würden, dass sie ihre Handynummer bei dem Impfzentrum angegeben hat. Der Umstand, dass dies nach ihrer Einschätzung so üblich sei, ist für die Überzeugungsbildung des Senats unzureichend.
217Selbst wenn der Senat dies unterstellen würde ließe sich ein kausal auf dem Datenschutzverstoß beruhender Schaden aber auch nicht feststellen, weil die Zeugin zwar bekundet hat, sie habe eine Information von HA. bekommen, dass jemand versucht habe, sich mit ihren Daten einzuwählen, sie bekomme Spam-SMS von Banken und im letzten Jahr sei ihre Kreditkarte aufgrund einer unbekannten Transaktion gesperrt worden. Die Vorfälle hätten etwa ein Jahr nach dem Datenschutzverstoß begonnen. Da nach den Schilderungen der Zeugin ein enger zeitlicher Zusammenhang zwischen dem Datenschutzverstoß und den geschilderten Auswirkungen bei einem zeitlichen Abstand von etwa einem Jahr nicht gegeben ist, erscheint es auch möglich, dass ihre Daten auf anderem Wege bekannt geworden sind, zumal sie auch angegeben hat, sowohl ihre E-Mail-Adresse als auch ihre Handynummer auch schon vor dem Datenschutzverstoß in sozialen Netzwerken verwendet zu haben.
218Schließlicht vermochte sich der Senat auch hinsichtlich der Zeugin RH. nicht davon zu überzeugen, dass ihr ein immaterieller Schaden durch den Datenschutzverstoß entstanden ist. Die Zeugin RH. hat bekundet, sie habe sich bei dem Impfzentrum insbesondere auch mit ihrer E-Mail-Adresse und Handynummer registriert, welche sie beide auch aktuell noch nutze. Sie sei mit ihrer E-Mail-Adresse auch bei sozialen Netzwerken angemeldet, jedoch ohne dass diese dort öffentlich sichtbar sei. Sie habe bereits vor dem Datenschutzverstoß ab und zu unerwünschte Anrufe auf dem Handy erhalten, dies sei nach dem Datenschutzverstoß jedoch sehr gehäuft gewesen, zum Teil habe sie von einer Nummer 24 Anrufe erhalten. Auch habe sie unerwünschte SMS bekommen, die seien verteilt eingegangen. Bei ihrer E-Mail-Adresse habe sie hingegen keine Veränderung bemerkt.
219Nach den Angaben der Zeugin RH. könnte bei ihr zwar ein immaterieller Schaden entstanden sein, der Senat vermochte sich jedoch nicht von der Glaubhaftigkeit ihrer Aussage zu überzeugen, weil ihre Aussage vor dem Senat in wesentlichen Punkten von ihren Angaben in ihrer E-Mail an die Klägerin vom 12. Dezember 2022 abgewichen ist. So hat die Zeugin in der E-Mail geschrieben, sie habe sehr viele Spam-SMS und Werbeanrufe bekommen, sodass sie schlussendlich nach drei Wochen Telefon- und SMS-Terror ihre Nummer habe ändern müssen, während sie vor dem Senat bekundet hat, verteilt unerwünschte SMS erhalten zu haben und ihre Handynummer aktuell weiter zu nutzen. Gerade die sich widersprechenden Angaben bzgl. der Änderung ihrer Handynummer lassen bei dem Senat durchgreifende Zweifel an der Glaubhaftigkeit ihrer Aussage aufkommen.
220(cc)
221Ein in persönlich empfundenen bzw. psychologischen Beeinträchtigungen bestehender immaterieller Schaden kann sich insbesondere in negativen Gefühlen wie bspw. Ärger, Unmut, Unzufriedenheit, Sorge und Angst vor weiteren Verstößen oder einer Weitergabe bzw. missbräuchlichen Verwendung der Daten äußern.
222Ob solche negativen Gefühle genügen, um einen immateriellen Schaden im Sinne von Art. 82 DSGVO zu begründen, ist Gegenstand einer Vorlagefrage des BGH an den EuGH (BGH, EuGH-Vorlage vom 26. September 2023 – VI ZR 97/22 -, Rn. 31, juris). Der Inhalt einer Stellungnahme des Generalanwalts beim EuGH in dem Schlussantrag vom 6. Oktober 2022 (Az. C-300/21 = GRUR-RS 2022, 26562, Rn. 112-116) spricht zwar eher gegen die Annahme, dass derartige Gefühle, die oft Teil des allgemeinen Lebensrisikos sind, bereits einen immateriellen Schaden darstellen können, allerdings hat der EuGH in seiner jüngeren Rechtsprechung nach Auffassung des Senats bereits entschieden, dass diese Möglichkeit grundsätzlich in Betracht zu ziehen ist. So hat der EuGH entschieden, dass der immaterielle Schaden auch eine Situation umfasst, in der die betroffene Person die begründete Befürchtung hegt – was zu prüfen Sache des nationalen Gerichts sei -, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden (EuGH, Urteil vom 25. Januar 2024 – C-687/21 -, DB 2024, 519, Rn. 67, juris). Ein rein hypothetisches Risiko könne hingegen nicht zu einer Entschädigung führen, was der Fall sei, wenn kein Dritter die fraglichen Daten zur Kenntnis genommen habe. Darüber hinaus hat der EuGH entschieden, dass Art. 82 Abs. 1 DSGVO nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DSGVO von der betroffenen Person behauptete immaterielle Schaden mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist, oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte. Allerdings müsse das angerufene nationale Gericht, wenn sich eine Person, die auf Grundlage eines Verstoßes gegen die DSGVO Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH, Urteil vom 14. Dezember 2023 – C-340/21 -, Rn. 79-85, juris). Mit seinem Urteil vom 20. Juni 2024, - C-590/22, Rn. 33 ff., juris, hat der EuGH – wie oben bereits erwähnt – nunmehr (erneut) ausgeführt und auch klargestellt, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadensersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist. Dabei kann die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen nicht zu einem Schadensersatz nach dieser Vorschrift führen.
223Letztlich kann die Frage, ob negative Gefühle wie Ärger, Unmut, Unzufriedenheit, Sorge und Angst vor weiteren Verstößen oder einer Weitergabe bzw. missbräuchlichen Verwendung der Daten einen immateriellen Schaden darstellen können, im vorliegenden Fall dahinstehen, weil die Klägerin das tatsächliche Vorhandensein derartiger, kausal auf dem Datenschutzverstoß beruhender negativer Gefühle der Zedenten entweder bereits nicht hinreichend substantiiert dargelegt und im Übrigen jedenfalls nicht bewiesen hat.
224Sofern der geltend gemachte immaterielle Schaden nach dem Vortrag der Klägerin auf persönlich empfundenen bzw. psychologischen Beeinträchtigungen beruhen soll, handelt es sich, soweit – wie hier – keine krankhaften Störungen behauptet werden, um innere Vorgänge. Diesbezüglich gilt, dass auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen kann nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden kann (vgl. BGH, Urteil vom 3. März 2022 – IX ZR 53/19 –, Rn. 9, juris). Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt und beweist, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat (OLG Hamm, Urteil vom 15. August 2023 – 7 U 19/23 -, Rn. 163 ff., juris).
225Insofern hat die Klägerin zunächst insbesondere auf Seite 3 ff. in ihrem Schriftsatz vom 5. September 2022 zu den Empfindungen und Gefühlen von allen 532 Zedenten gleichlautende pauschale Behauptungen aufgestellt, auf die zur Vermeidung von Wiederholungen Bezug genommen wird (Bl. 1109-1111 LG-Akte). Obwohl bereits die Beklagte und auch das Landgericht in der ersten Instanz insoweit wiederholt die fehlende Individualisierung des klägerischen Vortrags bemängelt haben, hat die Klägerin auch zu den persönlich empfundenen bzw. psychologischen Beeinträchtigungen nur hinsichtlich der o.g. 34 Zedenten konkret vorgetragen. Eine Ergänzung des Vortrags erfolgte auch nicht in der Berufungsinstanz. Dieser nicht näher konkretisierte Klagevortrag reicht zur Darlegung persönlich belastender Folgen durch die Datenschutzverletzung nicht aus, weil nicht genug Beweisanzeichen objektiver Art vorgetragen werden, in denen sich solche Gefühle bzw. der Aufwand widerspiegeln, und zwar bezogen auf den konkreten Einzelfall.
226Soweit die Klägerin hinsichtlich der o.g. 34 Zedenten konkret im Einzelfall zu den Empfindungen und Gefühlen dieser Zedenten vorgetragen hat, vermochte sie einen persönlich empfundenen bzw. auf psychologischen Beeinträchtigungen beruhenden immateriellen Schaden allerdings nicht zu beweisen.
227So hat die Beweisaufnahme ergeben, dass der Datenschutzverstoß bei einigen der Zedenten schon keine derartigen Gefühle bzw. Beeinträchtigungen hervorgerufen hat.
228Diesbezüglich hat der Zeuge I. angegeben, er selbst habe weniger Sorgen oder Ängste, könne sich das aber bei anderen vorstellen. Für ihn sei der Datenschutzverstoß eine interessante Erfahrung, die er auch beruflich als Beispiel in Schulungen für Unternehmen nutze. Der Zeuge O. hat ausgesagt, er sei über den Vorfall ein bisschen verwundert gewesen. Verärgert habe ihn dann das Verhalten der Beklagten in dem Rechtsstreit. Die Zeugin U. hat bekundet, sie sei über den Vorfall erstaunt gewesen, sie sei aber nicht ängstlich, da man ohnehin ein gläserner Mensch sei. Auch der Zeuge T. hat angegeben, eigentlich keine persönlichen Empfindungen gehabt zu haben, er sei aber verärgert über das spätere Verhalten der Beklagten. Schließlich hat auch der Zeuge D. ein negatives Gefühl bzw. eine psychologische Beeinträchtigung nicht hinreichend geschildert, indem er lediglich bekundet hat, dass die Daten weg seien, das sei nicht toll und mache schon etwas mit einem.
229Zwar haben die weiteren von dem Senat als Zeugen vernommenen Zedenten angegeben, aufgrund des Datenschutzverstoßes der Beklagten ein schlechtes bzw. ungutes Gefühl, Sorge vor einer missbräuchlichen Nutzung durch Dritte, ein mulmiges Gefühl, Ärger oder auch Verunsicherung empfunden zu haben, worin grundsätzlich ein immaterieller Schaden im Sinne von Art. 82 DSGVO zu sehen sein kann.
230Zum einen ist bzgl. der Befürchtung der zukünftigen missbräuchlichen Verwendung oder Weiterverbreitung der Daten durch Dritte jedoch zu prüfen, ob diese Befürchtung begründet ist (vgl. EuGH, Urteil vom 25. Januar 2024 – C-687/21 -, DB 2024, 519, Rn. 67, zitiert über juris). Dies ist bezogen auf den streitgegenständlichen Verstoß im Zeitpunkt der letzten mündlichen Verhandlung jedoch nicht der Fall, weil seit dem Versand der E-Mail nebst den anliegenden Excel-Dateien etwa zwei Jahre und neun Monate vergangen sind, und nach der Lebenserfahrung eher davon auszugehen ist, dass Dritte für sie fremde Daten möglichst zeitnah nach deren Bekanntwerden widerrechtlich nutzen oder weiterverbreiten, weil mit einem größer werdenden zeitlichen Abstand zu dem Bekanntwerden der Daten das Risiko steigt, dass sich die Daten – wie Adresse, E-Mail-Adresse oder Telefonnummer – geändert haben und damit für Dritte nutzlos geworden sind.
231Zum anderen vermochte sich der Senat aufgrund der Beweisaufnahme unter Berücksichtigung des persönlichen Eindrucks von den Zeugen nicht die erforderliche Überzeugung davon zu bilden, dass die Zeugen die von ihnen geäußerten Gefühle tatsächlich aufgrund des streitgegenständlichen Datenschutzverstoßes empfunden haben, weil die Zeugen keine hinreichenden objektiven Umstände dargestellt haben, in denen sich ihre erlebten Empfindungen widerspiegeln würden und aus denen der Senat einen Rückschluss auf das tatsächliche Vorhandensein der genannten negativen Empfindungen ziehen könnte. Insofern wäre zu erwarten gewesen, dass diejenigen Zeugen, die sich tatsächlich Sorgen darum machen, welche ihnen unbekannten Personen über ihre Daten verfügen und was diese damit machen, – soweit möglich – für eine Änderung ihrer Daten, insbesondere ihrer E-Mail-Adresse und ihrer Telefonnummer, sorgen.
232Im Gegensatz dazu haben jedoch die Zeugen S., N., L., F., Y., V., RE., A., B., J., UQ., YK., IS., BA., SE., AE., GU., DM., HW., FF. und KR. angegeben, eine Änderung ihrer Daten nicht in Betracht gezogen zu haben, bzw. keine Veranlassung für eine Änderung ihrer Daten gesehen zu haben, sondern stattdessen ihre Daten unverändert weiter zu nutzen.
233Darüber hinaus hat der Zeuge GZ. hat angegeben, er habe nach dem Vorfall ein sehr komisches Gefühl und Sorgen gehabt, wer ihn wohl als nächstes anrufe. Wegen der vielen Anrufe habe er auch seine Handynummer geändert. Insoweit verkennt der Senat nicht, dass hierin ein starkes Indiz dafür liegen dürfte, dass der Zeuge durch die erhaltenen Anrufe von Unbekannten auch tatsächlich Sorgen empfunden hat, gleichwohl können diese nicht mit dem streitgegenständlichen Datenschutzverstoß in einen kausalen Zusammenhang gebracht werden, weil – wie bereits ausgeführt wurde – schon nicht festgestellt werden kann, dass die erhaltenen Anrufe auf dem Datenschutzverstoß beruhen. Dies gilt dann auch für die von diesen Anrufen hervorgerufenen Gefühle.
234Soweit der Zeuge KU. ausgeführt hat, er habe sich zunächst über den Vorfall geärgert, so könnte zwar das Ändern der E-Mail-Adresse ein Indiz für das tatsächliche Vorhandensein dieses Gefühls sein, gleichwohl lässt sich dieser Schluss im konkreten Fall nicht ziehen, weil der Zeuge auch angegeben hat, er habe seine E-Mail-Adresse unabhängig von dem Datenschutzverstoß ändern wollen. Für eine Änderung weiterer Daten sah der Zeuge keinen Anlass.
235Die Zeugin RH. hat zunächst ausgesagt, sie sei über den Vorfall verwundert gewesen, es sei für sie aber nicht so schlimm gewesen, sondern eher eine Art Vertrauensbruch durch die Beklagte. Auf Nachfrage des Klägervertreters hat sie dann jedoch erklärt, sie habe früher einen Job gehabt, bei dem sie nach der Arbeit spät allein nach Hause gegangen sei. Dabei habe sie sich nach dem Vorfall unsicherer gefühlt und sich öfter umgeschaut, mittlerweile sei sie aber umgezogen und habe eine andere Arbeitsstelle. Der Senat vermochte sie auch insoweit jedoch nicht von der Glaubhaftigkeit der Aussage der Zeugin RH. überzeugen, weil sie in Abweichung zu ihren Angaben vor dem Senat in ihrer E-Mail an die Klägerin in Bezug auf ihre Ängste angegeben hat, dass sie habe Sorge, dass irgendwelche Menschen zu ihrer Adresse kommen könnten. Unabhängig davon, dass der Umstand, dass die Zeugin auf ihrem Rückweg von der Arbeit Angst davor hatte, dass ihr jemand folgen könnte, nicht auf den Datenschutzverstoß zurückzuführen ist, weil ihre Arbeitsstelle hiervon nicht betroffen war, führen die Widersprüche in ihrer Aussage dazu, dass deutliche Zweifel an der Richtigkeit ihrer Aussage verbleiben.
236Schließlich hat die Zeugin E. zwar angegeben, es sei nicht schön, dass irgendwer ihre Daten habe und dieses Gefühl sei eher mehr geworden, weil bei einem Hackerangriff auf ihre Universität ihre Daten ebenfalls verloren gegangen seien, so lässt sich aufgrund des weiteren Datenverlusts nicht abgrenzen, inwieweit das ohnehin nur leicht ausgeprägte Empfinden der Zeugin überhaupt auf dem streitgegenständlichen Datenschutzverstoß beruht.
237Nach dem Ergebnis der Beweisaufnahme hat sich bei dem Senat der Eindruck verfestigt, dass es einer Vielzahl von Zeugen weniger darum ging, einen Ausgleich für einen tatsächlich erlittenen Schaden zu erhalten, sondern den Datenschutzverstoß zu nutzen, um über das Geschäftsmodell der Klägerin auf möglichst einfachem Wege und ohne eigenen Aufwand einen (geringen) Geldbetrag zu erhalten. Dies wurde insbesondere durch die Aussage des Zeugen T. deutlich, der ausgesagt hat, er habe nach dem Datenschutzverstoß im Internet gesucht und sei dabei auf die Klägerin gestoßen. Es sei damals „in“ gewesen, derartige Forderungen an Firmen zu verkaufen.
238Soweit einige Zeugen des Weiteren herausgestellt haben, dass sie sich über das Verhalten der Beklagten nach dem bzw. ihren Umgang mit dem Datenschutzverstoß geärgert haben, beruht dieses Gefühl auf einer anderen Handlung der Beklagten, und nicht auf dem Datenschutzverstoß ansich. Schließlich stellt der von einigen Zeugen bekundete Verlust des Vertrauens in die Beklage als eine staatliche Institution nach der Rechtsprechung des EuGH keinen immateriellen Schaden dar (EuGH, Urteil vom 4. April 2017 – C-337/15 -, Rn. 89-95, juris).
239(d)
240Die Höhe des den Zedenten K. und W. entstandenen immateriellen Schadens bemisst der Senat auf insgesamt 600,00 Euro.
241Die DSGVO enthält keine Bestimmung über die Bemessung des Schadenersatzes, der aufgrund des in Art. 82 DSGVO verankerten Schadenersatzanspruchs geschuldet wird. In dem 146. Erwägungsgrund der DSGVO wird diesbezüglich allerdings ausgeführt, dass Art. 82 DSGVO einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherstellen soll. Folglich haben die nationalen Gerichte zum Zweck dieser Bemessung nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden, wie sie von der ständigen Rechtsprechung des Gerichtshofs definiert werden (EuGH, Urteil vom 11. April 2024 – C-741/21 –, Rn. 58, m.w.Nachw., juris).
242In diesem Zusammenhang hat der EuGH hervorgehoben, dass Art. 82 DSGVO – anders als Art. 83 und 84 DSGVO – keine Straf-, sondern eine Ausgleichsfunktion hat. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken (EuGH, Urteil vom 25. Januar 2024, - C-687/21 -, DB 2024, 519, Rn. 47 m.w.N., juris). Dementsprechend ist die auf Art. 82 DSGVO gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den auf Grund des Verstoßes gegen die DSGVO konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadensersatz erfordert (EuGH, Urteil vom 21. Dezember 2023 – C-667/21 -, Rn 84, juris).
243Darüber hinaus hat der EuGH entschieden, dass aufgrund der unterschiedlichen Zielrichtungen der Art. 82 und 83 DSGVO die in Art. 83 DSGVO genannten Kriterien für die Bestimmung der Beträge der Geldbußen, die auch im 148. Erwägungsgrund zur DSGVO erwähnt werden, nicht zur Bemessung des Schadenersatzbetrags nach Art. 82 DSGVO herangezogen werden können (EuGH, Urteil vom 11. April 2024 – C-741/21 –, Rn. 57, juris), dass die Schwere des Verstoßes gegen DSGVO, durch den der betreffende materielle oder immaterielle Schaden entstanden ist, sich nicht auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadenersatzes auswirken kann (EuGH, Urteil vom 21. Dezember 2023 - C-667/21 -, Rn. 86, juris) und dass der Umstand, dass der Verantwortliche mehrere Verstöße gegenüber derselben betroffenen Person begangen hat, ebenfalls kein relevantes Kriterium für die Bemessung des gemäß Art. 82 DSGVO zu gewährenden Schadenersatzes ist (EuGH, Urteil vom 11. April 2024 – C-741/21 –, Rn. 64, juris).
244Letztlich hat der EuGH wiederholt festgestellt, dass im Rahmen von Art. 82 DSGVO die als Ausgleich geschuldete finanzielle Entschädigung so festzulegen ist, dass allein der konkret erlittene Schaden berücksichtigt wird (EuGH, Urteil vom 11. April 2024 – C-741/21 –, Rn. 64, juris) und der Betrag nicht in einer über den vollständigen Ersatz dieses Schadens hinausgehenden Höhe bemessen werden darf (EuGH, Urteil vom 21. Dezember 2023 – C-667/21 -, Rn. 86, juris).
245Unter Berücksichtigung dieser Maßstäbe ist es Aufgabe der nationalen Gerichte, den konkret erlittenen Schaden der einzelnen Personen anhand der innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung zu bemessen und dabei Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes festzulegen (EuGH, Urteil vom 4. Mai 2023 – C-300/21 -, GRUR-RS, 2023, 8972, Rn. 54, 59). Dementsprechend gelten bei der Bemessung der Schadenshöhe die im Rahmen von § 253 BGB entwickelten Grundsätze unter Berücksichtigung der von dem EuGH zu Art. 82 DSGVO festgelegten Besonderheiten; der Schaden ist sodann nach § 287 ZPO zu schätzen (vgl. Senatsurteil vom 20. Januar 2023 – 11 U 88/22 -, Rn. 136, juris; OLG Oldenburg, Urteil vom 14. Mai 2024 – 13 U 114/23 –, Rn. 35, juris). Danach hat das Gericht über die Höhe des Schadens unter Würdigung aller Umstände nach freier Überzeugung zu entscheiden.
246Bei der Bemessung des Schadens in den konkreten Einzelfällen sind hinsichtlich beider Zedenten die insoweit identischen Umstände zu den betroffenen Daten und zu dem Hergang des Datenschutzverstoßes zu berücksichtigen, wie sie der Senat bereits in dem Urteil vom 20. Januar 2023 dargestellt hat (Az. 11 U 88/22, Rn. 137-146).
247Dazu gehört zunächst, dass die in den Excel-Dateien jeweils enthaltenen personenbezogenen Daten den vollständigen Namen, die Anschrift, das Geburtsdatum, die Telefonnummer und die E-Mail-Adresse sowie den für die Impfung vorgesehenen Impfstoff und das Datum der Impfung sowie Angaben zur Anzahl der Impfungen in ihrer Gesamtheit ein Datenbündel darstellen, welches problemlos die Identifizierung der Zedenten ermöglicht. Auch sind hier nicht lediglich personenbezogene Daten der Zedenten im Sinne von Art. 4 Nr. 1 DSGVO betroffen, sondern auch Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, welche grundsätzlich besonders sensibel sind, wie auch Art. 9 DSGVO deutlich macht.
248Weiter ist in den Blick zu nehmen, dass die Excel-Dateien an eine Vielzahl von Personen übersandt wurden. Insoweit ist unstreitig, dass der Versand an insgesamt 1.200 Personen erfolgte, wobei allerdings ein unmittelbar nach dem Versand erfolgter Rückruf der E-Mail in bis zu 500 Fällen Erfolg gehabt haben kann. Damit haben jedenfalls mindestens 700 Personen die Dateien erhalten und konnten deren Inhalt auch zur Kenntnis nehmen, da die Datei nicht vor einem einfachen Zugriff geschützt war. Ferner ist zu berücksichtigen, dass der Versand der E-Mail und damit die Offenbarung der Daten nicht mehr rückgängig zu machen ist. Auch trotz des von der Beklagten unternommenen Versuches, die Empfänger der E-Mail zur Löschung der Dateien zu veranlassen, kann eine Weitergabe dieser Dateien an Dritte nicht ausgeschlossen werden, sodass für die Zedenten grundsätzlich das Risiko des Erhalts unerwünschter Werbung insbesondere per E-Mail oder von Phishing-E-Mails mit dem Ziel, auf diese Art weitere Informationen von den Zedenten zu erlangen, besteht. Darüber hinaus ist die Möglichkeit eines Identitätsdiebstahls grundsätzlich ebenso in Betracht zu ziehen wie die Auslösung kostenpflichtiger Bestellungen durch Dritte unter Verwendung der personenbezogenen Daten der Zedenten.
249Gleichwohl ist aber auch zu beachten, dass es sich bei den offenbarten personenbezogenen Daten der Zedenten im Sinne von Art. 4 Nr. 1 DSGVO lediglich um solche Daten handelt, welche ihrer Sozialsphäre zuzuordnen sind. Die Sozialsphäre betrifft den Bereich, in dem sich die persönliche Entfaltung von vornherein im Kontakt mit der Umwelt vollzieht, also insbesondere das berufliche und politische Wirken des Individuums. Demgegenüber umfasst die Privatsphäre sowohl in räumlicher als auch in thematischer Hinsicht den Bereich, zu dem andere grundsätzlich nur Zugang haben, soweit er ihnen gestattet wird. Dies betrifft in thematischer Hinsicht Angelegenheiten, die wegen ihres Informationsinhalts typischerweise als „privat" eingestuft werden, etwa weil ihre öffentliche Erörterung als unschicklich gilt, das Bekanntwerden als peinlich empfunden wird oder nachteilige Reaktionen in der Umwelt auslöst (BGH, Urteil vom 20. Dezember 2011 - VI ZR 261/10 -, Rn. 16, juris). Nach dieser Maßgabe sind jedenfalls die personenbezogenen Daten, die zur Beschreibung der Zedenten dienen, ihrer Sozialsphäre zuzuordnen.
250Soweit Gesundheitsdaten der Zedenten im Sinne von Art. 4 Nr. 15 DSGVO offenbart wurden, sind diese zwar der Privatsphäre zuzurechnen, allerdings darf hier nicht außer Acht gelassen werden, dass insbesondere im Hinblick auf den weiten Begriff der Gesundheitsdaten auch hier deren konkreter Inhalt zu berücksichtigen ist. Aus den offenbarten Daten lässt sich allenfalls das Fehlen einer Kontraindikation bezüglich einer zweiten Impfung nach erfolgter Erstimpfung bei den Zedenten ableiten, nicht aber konkrete Schlüsse auf eine Erkrankung oder eine besondere gesundheitliche Disposition. Damit stellt sich die Offenbarung der Gesundheitsdaten hier als weit weniger schwerwiegend dar, als dies etwa bei der Offenbarung spezifischer Gesundheitsdaten wie eines medizinischen Befundes oder einer ärztlichen Diagnose der Fall wäre.
251Weiter ist in den Blick zu nehmen, dass der Datenschutzverstoß erfolgte, weil die Beklagte die versendeten Excel-Dateien während des laufenden Betriebs des Impfzentrums einmalig zu Organisationszwecken, namentlich um die von der Änderung der Öffnungszeiten betroffenen Personen hierüber zu informieren, benötigte, und der Versand der E-Mail nebst den Excel-Dateien als Anlagen auf einem Versäumnis der handelnden Mitarbeiter im Zuge des Versands der E-Mail an die von der Änderung der Öffnungszeiten betroffenen Personen versehentlich erfolgt ist. Zudem handelt es sich – soweit ersichtlich – um den bisher einzigen derartigen Vorfall in dem Geschäftsbereich der Beklagten.
252Schließlich ist zu berücksichtigen, dass die Beklagte alles in ihrer Macht Stehende unternommen hat, um den infolge des Verstoßes aufgetretenen Schaden gering zu halten. So wurde unmittelbar nach dem Versand der Mail der Versuch des Rückrufs der E-Mail unternommen, was nach ihren Angaben bei bis zu 500 Adressaten auch erfolgreich war. Ferner hat die Beklagte auch die Empfänger der E-Mail aufgerufen, die Daten zu löschen. Darüber hinaus hat die Beklagte alle Betroffenen – auch die Zedenten - kurz nach dem Verstoß mit Schreiben vom 05.08.2021 über diesen und über die offenbarten Daten informiert, sich mit Schreiben vom 05.08.2021 entschuldigt und den Vorfall der Aufsichtsbehörde angezeigt.
253Über diese allgemeinen Umstände hinaus ist die Höhe des Schadens anhand der konkret bei den jeweiligen Zedenten entstandenen Beeinträchtigungen zu bemessen.
254Insofern ist bei dem Zedenten K. zu berücksichtigen, dass er eine Vielzahl von unerwünschten Anrufen von ihm unbekannten Rufnummern aus dem Ausland erhalten hat, die ihn zu einem Wechsel seiner Telefonnummer bewogen haben, der stets auch mit einigem Aufwand verbunden ist, weil man sich zunächst mit dem Telekommunikationsunternehmen in Verbindung setzen und eine neue Rufnummer beantragen muss, und nach Erhalt der neuen Telefonnummer sein persönliches und berufliches Umfeld hierüber informieren muss. Des Weiteren ist die berechtigte Sorge des Zedenten K. zu berücksichtigen, dass in seinem lokalen Umfeld lebende rechtsradikale Personen bzw. Impfgegner Zugang zu seinen Daten und so Kenntnis von seiner Einstellung zu Impfungen gegen das Sars-Cov2-Virus erhalten.
255Hinsichtlich der Zeugin W. ist im konkreten Einzelfall der Erhalt einer unerwünschten E-Mail von einer für sie nicht zu identifizierenden Person einzubeziehen. Insofern hatte die E-Mail mit dem Inhalt „Na wie geht’s dir nach deiner 2. Impfung? Schon ein zweiter Arm gewachsen?“ einen eindeutigen Bezug zu der Impfung der Zedentin und darüber hinaus die deutlich erkennbare Absicht, sich über die Zedentin zu belustigen.
256Unter Berücksichtigung sämtlicher Umstände der jeweiligen konkreten Einzelfälle schätzt der Senat den dem Zedenten K. entstandenen Schaden auf 400,00 Euro und den der Zedentin W. entstandenen Schaden auf 200,00 Euro, sodass der Klägerin aus abgetretenem Recht ein Anspruch auf insgesamt 600,00 Euro zusteht.
257(e)
258Die in der Literatur umstrittene Frage, ob der Anspruch aus Art. 82 DSGVO aufgrund eines Mitverschuldens gekürzt werden kann, braucht der Senat nicht zu entscheiden, weil vorliegend Anhaltspunkte für ein etwaiges Mitverschulden der Zedenten K. und W. weder vorgetragen noch ersichtlich sind.
259c)
260Ein weitergehender Anspruch der Klägerin folgt auch nicht aus § 839 Abs. 1 S. 1 BGB in Verbindung mit Art. 34 S. 1 GG.
261Zwar kommt ein solcher grundsätzlich neben einem Anspruch nach Art. 82 Abs. 1 DSGVO in Betracht und der streitgegenständliche Datenschutzverstoß stellt auch eine Amtspflichtverletzung in Form einer Verletzung der Pflicht zu gesetzmäßigem Handeln dar (Senatsurteil vom 20. Januar 2023 – 11 U 88/22 – Rn. 154 f., juris; Geigel, Haftpflichtprozess, 29. Aufl. 2024, Kap. 20 Haftung für Amtspflichtverletzungen, Rn. 58a, beck-online). Die Zahlung einer Geldentschädigung wegen dem hier allein als verletztes Rechtsgut in Betracht kommenden Persönlichkeitsrechts – in Form des Rechts auf informationelle Selbstbestimmung – setzt jedoch voraus, dass es sich um einen schwerwiegenden Eingriff in das Persönlichkeitsrecht handelt und die erlittene Beeinträchtigung sich nicht auf andere Weise befriedigend ausgleichen lässt. Ob eine schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, die die Zahlung einer Geldentschädigung erfordert, ist aufgrund der gesamten Umstände des Einzelfalles zu beurteilen und hängt insbesondere von der Bedeutung und der Tragweite des Eingriffs, ferner von Anlass und Beweggrund des Handelnden sowie von dem Grad seines Verschuldens ab (BGH, Urteil vom 23. Oktober 2003 - III ZR 9/03 -, Rn. 44, juris).
262Nach diesen Maßstäben ist eine schwerwiegende Persönlichkeitsrechtsverletzung hier jedoch nicht gegeben. Die Offenbarung und der Kontrollverlust hinsichtlich der der Sozialsphäre zuzuordnenden personenbezogenen Daten und auch der der Privatsphäre zuzuordnenden Gesundheitsdaten – die keine hochsensiblen Informationen enthalten – rechtfertigen nicht die Annahme einer schwerwiegenden Verletzung des Persönlichkeitsrechts der Zedenten. Dies gilt auch unter Berücksichtigung der festgestellten, darüber hinausgehenden individuellen Beeinträchtigungen der Zedenten K. und W.. Die Eingriffe in das jeweilige Persönlichkeitsrecht der Zedenten sind weder im Hinblick auf einzelne Beeinträchtigungen noch in der Gesamtschau so schwerwiegend, dass sie sich nicht auf andere Weise befriedigend ausgleichen lassen würden.
263d)
264Der Zinsanspruch der Klägerin besteht gemäß §§ 291, 288 Abs. 1 S. 2 BGB nur in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz, weil es sich bei einem Anspruch auf Schadensersatz nicht um eine Entgeltforderung im Sinne von § 288 Abs. 2 BGB handelt (BGH, Urteil vom 24. Januar 2018 – XII ZR 120/16 -, NJW-RR 2018, 714, Rn. 26, beck-online).
2653.
266Die prozessualen Nebenentscheidungen beruhen auf §§ 92 Abs. 2 Nr. 1, 708 Nr. 10, 711 ZPO.
267III.
268Die Revision wird für die Beklagte gemäß § 544 Abs. 2 Nr. 1 ZPO zugelassen. Den von dem Senat entschiedenen Rechtsfragen betr. die Wirksamkeit der zwischen der Klägerin und den Zedenten geschlossenen Abtretungsverträge kommen grundsätzliche Bedeutung zu, weil sie entscheidungserhebliche, klärungsbedürftige und klärungsfähige Rechtsfragen aufwerfen, die sich mit Blick auf das Geschäftsmodell der Klägerin in einer unbestimmten Vielzahl von Fällen stellen können, weshalb das abstrakte Interesse der Allgemeinheit an der einheitlichen Entwicklung und Handhabung des Rechts berührt ist (vgl. BGH, Beschluss vom 10. Dezember 2003 – IV ZR 319/02 –, Rn. 16, juris).
269Für eine weitergehende Zulassung der Revision besteht hingegen kein Anlass, weil die weiteren entscheidungserheblichen Rechtsfragen im Zusammenhang mit den Voraussetzungen von Art. 82 DSGVO bereits durch den EuGH geklärt sind und der Senat diese Rechtsprechungsgrundsätze lediglich auf den konkreten Einzelfall angewendet hat.