R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
BB - Betriebs-Berater
Header Pfeil
Wirtschaftsrecht
24.04.2025
Wirtschaftsrecht
BGH: DSGVO-Schadensersatzanspruch bei Verwaltung von Personalakten durch hierzu nicht befugte Dritte

BGH, Urteil vom 11.2.2025 – VI ZR 365/22

ECLI:DE:BGH:2025:110225UVIZR365.22.0

Volltext: BB-Online BBL2025-962-2

unter www.betriebs-berater.de

Amtlicher Leitsatz

Zum Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO bei der Verwaltung von Personalakten durch hierzu nicht befugte Dritte.

Sachverhalt

Die Parteien streiten, soweit im Revisionsverfahren noch relevant, über Schadensersatz wegen Verstoßes gegen die Datenschutz-Grundverordnung.

Die Klägerin ist seit dem Jahr 1995 Bundesbeamtin bei der Bundesanstalt X.                                                in Hannover. Die Personalaktenverwaltung wurde dort in der Vergangenheit durch Bedienstete des Landes Niedersachsen vorgenommen. Die Klägerin beanstandete dies mehrfach ohne Erfolg und wandte sich schließlich im Jahr 2017 an den Beauftragten für Datenschutz des Landes Niedersachsen, der die Eingabe zuständigkeitshalber an den Bundesbeauftragten für Datenschutz und Informationssicherheit weiterleitete. Dieser teilte der beklagten Bundesrepublik Deutschland am 10. April 2019 mit, dass die dortige Praxis unzulässig sei. Die Beklagte änderte daraufhin mit Organisationsverfügung vom 22. August 2019 die beanstandete Praxis.

Soweit für das Revisionsverfahren noch von Interesse, begehrt die Klägerin mit ihrer Klage die Feststellung, dass die Beklagte wegen rechtswidriger Weitergabe von besonders geschützten Daten an Landesbedienstete zur Leistung von Schadensersatz verpflichtet sei. Erst- und zweitinstanzlich hat die Klägerin zudem ein weiteres, auf den Vorwurf des Mobbings gestütztes Feststellungsbegehren geltend gemacht.

Das Landgericht hat die Klage insgesamt ab-, das Oberlandesgericht die Berufung der Klägerin zurückgewiesen. Mit ihrer vom Berufungsgericht beschränkt zugelassenen Revision verfolgt die Klägerin ihren Feststellungsanspruch wegen Verletzung der Datenschutz-Grundverordnung weiter.

Aus den Gründen

5          I. Das Berufungsgericht (ZD 2023, 620) hat die Voraussetzungen für einen Anspruch aus Art. 82 DSGVO für nicht gegeben erachtet.

 

6          Allerdings habe die generelle Bearbeitung der Personalakte der Klägerin durch Landesbedienstete gegen datenschutzrechtliche Vorschriften verstoßen. Die Beklagte gehe selbst von der offensichtlichen Rechtswidrigkeit ihrer damaligen Verwaltungspraxis aus und habe zu den Einzelheiten der Personalaktenbearbeitung nicht näher vorgetragen. Ein Fall der zulässigen Erhebung und Verwendung von Personalakten im Auftrag nach § 111a Abs. 1 BBG in der bis zum 25. November 2019 geltenden Fassung (im Folgenden: aF) liege ersichtlich nicht vor; die vorherige Zustimmung der obersten Dienstbehörde werde nicht behauptet.

 

7          Jedoch fehle es an der Darlegung der Wahrscheinlichkeit des Eintritts eines Schadens bei der Klägerin. Einen materiellen Schaden habe die Klägerin nicht behauptet. Die Klägerin habe auch nicht dargetan, dass nach dem Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018 ein immaterieller Schaden wahrscheinlich eingetreten sei. Die nach dem Vorbringen der Klägerin seit Oktober 2020 aufgetretenen gesundheitlichen Beschwerden ließen sich nicht auf die bereits seit dem Jahr 2013 erfolgte und im August 2019 beendete Führung der Personalakten durch Landesbedienstete zurückführen.

 

8          Der immaterielle Schaden liege hier auch nicht in dem bloßen Kontrollverlust. Zwar liege in dem Verlust der Kontrolle über personenbezogene Daten ein möglicher Schaden, etwa wenn diese an einen unbeteiligten und unberechtigten Dritten übermittelt würden, wodurch der Betroffene bloßgestellt werde und ihm eine Stigmatisierung drohe. Zu einem immateriellen Schaden zählten auch Ängste, Stress sowie Komfort- und Zeiteinbußen. Der Verpflichtung zum Ausgleich eines immateriellen Schadens müsse aber eine benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen, die beispielsweise in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden "Bloßstellung" liegen könne. Das Gericht habe zu beurteilen, ob durch die DSGVO-Verletzung eine durchschnittlich im Datenschutz sensibilisierte Person solch negative Gefühle entwickeln würde, die über jene hinausgingen, welche man automatisch entwickle, wenn ein Gesetz zu seinen Ungunsten verletzt werde. Der Beeinträchtigung müsse ein Gewicht zukommen. Nicht schon jeder, allein durch die Verletzung an sich hervorgerufene Ärger sei auszugleichen. Entscheidend sei, dass die Datenschutzverletzung über eine individuell empfundene Unannehmlichkeit hinausgehe oder das Selbstbild oder Ansehen einer Person ernsthaft beeinträchtige, wenn nicht der datenschutzrechtliche Verstoß eine Vielzahl von Personen in gleicher Weise betreffe und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung sei.

 

9          Übertragen auf den Streitfall sei hier anders als bei der Veröffentlichung von Daten kein Kontrollverlust gegeben. Die Landesbediensteten, die im Rahmen einer Verwaltungspraxis für die Bundesbehörde tätig geworden seien, unterlägen im gleichen Umfang wie in der Personalverwaltung tätige Bundesbeamte der dienstlichen Verschwiegenheitspflicht. Zudem habe die Klägerin weder ein Gefühl der Hilflosigkeit noch der Bloßstellung behauptet. Zwar sei die Datenschutzverletzung auch gegenüber weiteren Bundesbeamten begangen worden, sie sei jedoch nicht Ausdruck einer bewussten Kommerzialisierung.

 

10        II. Diese Erwägungen halten der rechtlichen Überprüfung nicht stand. Der mit der Revision noch weiterverfolgte Feststellungsantrag der Klägerin aus Art. 82 DSGVO ist zulässig und begründet.

 

11        1. Das Feststellungsbegehren der Klägerin ist zulässig. Insbesondere steht dem nach § 256 Abs. 1 ZPO erforderlichen und auch in der Revisionsinstanz von Amts wegen zu prüfenden (vgl. BGH, Urteil vom 21. Februar 2017 - XI ZR 467/15, NJW 2017, 1823 Rn. 14 mwN) Vorhandensein eines Feststellungsinteresses unter den Umständen des Streitfalles nicht der Vorrang der Leistungsklage entgegen. Zwar beruht der noch streitgegenständliche Anspruch auf einem zeitlich begrenzten und bereits abgeschlossenen Sachverhalt, so dass der Klägerin die Bezifferung des ihr insoweit entstandenen Schadens nunmehr durchaus möglich und zumutbar sein dürfte. Doch hatte die Klägerin ihren Anspruch zunächst in Verbindung mit dem weitergehenden Vorwurf des zum Zeitpunkt der Klageerhebung nach andauernden Mobbings geltend gemacht, weshalb der einheitliche Feststellungsantrag zu diesem Zeitpunkt zulässig war (vgl. Senat, Urteil vom 19. April 2016 - VI ZR 506/14, NJW-RR 2016, 759 Rn. 6, 8 mwN). Dass dieser Teil des ursprünglichen Feststellungsbegehrens in der Revisionsinstanz nicht mehr Gegenstand des Verfahrens ist, macht die ursprünglich zulässige Feststellungsklage nicht unzulässig (vgl. BGH, Urteil vom 4. November 1998 - VIII ZR 248/97, NJW 1999, 639, juris Rn. 15 mwN).

 

12        2. Der geltend gemachte Feststellunganspruch ist auch begründet, Art. 82 Abs. 1 DSGVO. Nach der Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteile vom 4. Oktober 2024 - C-507/23, K&R 2024, 730 Rn. 24 - Patērētāju tiesību aizsardzības centrs; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 34 - juris; vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 58 - MediaMarktSaturn). Diese Voraussetzungen sind vorliegend erfüllt.

 

13        a) Ein Verstoß gegen die Datenschutz-Grundverordnung liegt nach den getroffenen Feststellungen vor. Das Berufungsgericht hat die von der Beklagten bis zum Erlass der Organisationsverfügung vom 22. August 2019 geübte Praxis, die Verwaltung der Personalakten von Bundesbeamten wie der Klägerin durch Bedienstete des Landes Niedersachsen vornehmen zu lassen, als von § 111a BBG aF i.V.m. § 26 BDSG i.V.m. Art. 88 DSGVO nicht gedeckte Verarbeitung personenbezogener Daten durch Dritte und damit als Verstoß gegen die Datenschutz-Grundverordnung (der Sache nach: gegen Art. 5 Abs. 1 Buchst. a, Art. 28 DSGVO) gewertet. Die Beklagte sei selbst von der offensichtlichen Rechtswidrigkeit dieser Praxis ausgegangen und habe weder näher zu den Einzelheiten der geübten Personalaktenverwaltung vorgetragen noch eine vorherige Zustimmung der obersten Dienstbehörde behauptet. Hiergegen wendet die Beklagte auch mit der Revisionserwiderung nichts ein; Rechtsfehler sind insoweit auf der Grundlage der vom Berufungsgericht getroffenen und nicht mit Gegenrügen angegriffenen Feststellungen im Übrigen nicht ersichtlich.

 

14        b) Zu Unrecht hat das Berufungsgericht einen durch diesen Verstoß gegen die Datenschutz-Grundverordnung verursachten Schaden der Klägerin verneint. Der Schaden liegt hier bereits in dem durch die Überlassung ihrer Personalakte an Bedienstete des Landes verursachten vorübergehenden Verlust der Kontrolle der Klägerin über ihre in ihrer Personalakte enthaltenen personenbezogenen Daten.

 

15        aa) Schon der bloße Kontrollverlust kann, wie der Senat in Umsetzung der jüngeren Rechtsprechung des Gerichtshofs (Urteile vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137- Agentsia po vpisvaniyata; vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 42 - juris; vgl. zuvor bereits EuGH, Urteile vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 66 - MediaMarktSaturn; vom 14. Dezember 2023 - C-456/22, NZA 2024, 56 Rn. 17-23 - Gemeinde Ummendorf sowie - C-340/21, NJW 2024, 1091 Rn. 82 - Natsionalna agentsia za prihodite) entschieden hat, einen ersatzfähigen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen (Senat, Urteil vom 18. November 2024 - VI ZR 10/24, WM 2024, 2301 Rn. 30 mwN). Anders als das Berufungsgericht meint, muss der Verpflichtung zum Ausgleich keine über diesen Kontrollverlust hinausgehende "benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen"; auch muss der Beeinträchtigung des Betroffenen kein besonderes "Gewicht" zukommen, das "über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt" (vgl. Senat, aaO Rn. 29 mwN).

 

16        bb) Nach diesen Grundsätzen liegt der Schaden hier ohne Weiteres darin, dass die Beklagte auch nach dem 25. Mai 2018 die personenbezogenen, in deren Personalakte enthaltenen Daten der Klägerin hierzu nicht berechtigten Dritten, nämlich Bediensteten des Landes Niedersachsen, zur Bearbeitung überlassen und diese Praxis erst mit Organisationsverfügung vom 22. August 2019 beendet hat. Der vom Berufungsgericht in diesem Zusammenhang angeführte Umstand, dass auch die mit Personalangelegenheiten betrauten Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, steht der Annahme eines Schadens insoweit dem Grunde nach nicht entgegen, sondern wird erst bei Bemessung der Höhe des zu leistenden Schadensersatzes (§ 287 ZPO) zu berücksichtigen sein (s. zu den Bemessungskriterien weiterführend Senat, aaO Rn. 92 ff., insb. 99).

 

17        c) Das angegriffene Urteil stellt sich, anders als die Revisionserwiderung meint, auch nicht aus anderen Gründen als richtig dar, § 561 ZPO. Entgegen der Auffassung der Beklagten ist der Feststellungsanspruch der Klägerin hier nicht nach dem Rechtsgedanken des § 839 Abs. 3 BGB deshalb zu verneinen, weil die Klägerin es versäumt hätte, primäre Rechtsmittel gegen die von der Beklagten geübte Praxis der Personalaktenverwaltung zu ergreifen. Der Rechtsgedanke des § 839 Abs. 3 BGB lässt sich auf den unionsrechtlichen Anspruch aus Art. 82 Abs. 1 DSGVO nicht übertragen. Anders als der beamtenrechtliche Schadensersatzanspruch, etwa wegen Verletzung der Fürsorgepflicht bei "Mobbing", bei dem dies angenommen wird (vgl. hierzu BVerwG, Urteil vom 28. März 2023 - 2 C 6/21, BVerwGE 178, 116 Rn. 18, 30 mwN), findet der Anspruch aus Art. 82 Abs. 1 DSGVO seinen Rechtsgrund nicht im Beamtenverhältnis. Der Anspruch aus Art. 82 Abs. 1 DSGVO ist hiervon vielmehr unabhängig und kann in Anspruchskonkurrenz neben einen Amtshaftungsanspruch aus § 839 BGB i.V.m. Art. 34 GG treten (BFH, Beschluss vom 28. Juni 2022 - II B 93/21, juris Rn. 17; OLG Hamm, GRUR-RS 2023, 1263 Rn. 63 ff., 94, 146; jeweils mwN). Die vom Gerichtshof konturierten Voraussetzungen des unionsrechtlichen Anspruchs aus Art. 82 Abs. 1 DSGVO dem Grunde nach (vgl. oben II.2) sind daher grundsätzlich abschließend zu verstehen und lassen sich auch in dem hier vorliegenden Fall der Betroffenheit einer Beamtin und einem Datenschutzverstoß ihres Dienstherrn nicht um eine aus nationalem Recht abgeleitete, zusätzliche Anspruchshürde ergänzen (vgl. Frenzel in Paal/Pauly, DS-GVO/BDSG, 3. Aufl., Art. 82 DSGVO Rn. 12, 20; Boehm in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., Art. 82 DSGVO Rn. 43). Abgesehen davon ist nicht ersichtlich, inwiefern die von der Klägerin erfolglos unternommenen "Beanstandungen" und die anschließende erfolgreiche Einschaltung der Datenschutzbeauftragten des Landes und des Bundes nicht ohnehin einer etwaigen Schadensabwendungsobliegenheit genügt haben.

stats