Rechtsprechung / Oberlandesgericht Hamm

Oberlandesgericht Hamm Urteil vom 06.06.2025 – 11 U 90/23

ECLI:DE:OLGHAM:2025:0606.11U90.23.00

Tenor

Die Berufung des Klägers gegen das am 06.07.2023 verkündete Urteil des Einzelrichters der 14. Zivilkammer des Landgerichts Münster wird zurückgewiesen.

Der Kläger trägt die Kosten des Berufungsverfahrens.

Das Urteil ist vorläufig vollstreckbar.

1

G r ü n d e

2

I.

3

Von der Darstellung eines Tatbestandes wird gemäß §§ 540 Abs. 2, 313a Abs. 1 S. 1 ZPO abgesehen.

4

II.

5

Die zulässige Berufung bleibt ohne Erfolg.

6

1.

7

Die Klage ist zulässig.

8

Ihrer Zulässigkeit – erst recht nicht der Zulässigkeit in der Berufung (vgl. BGH, Urteil vom 19.12.1987 – IV b ZR 4/87 -, BGHZ, 102, Seite 332 ff.) – steht nicht entgegen, dass der Kläger im Klagerubrum nicht seine ladungsfähige Wohnadresse angegeben hat, sondern lediglich den Kanzleisitz seiner Prozessbevollmächtigten als Kontakt- und Zustellungsadresse. Im Rahmen der Erörterungen in dem Senatstermin vom 17.01.2025 ist die Privatadresse des Klägers jedoch allen am Rechtsstreit Beteiligten bekannt geworden. Unter diesen Umständen erscheint die Beibehaltung des bisherigen Klagerubrums unbedenklich, ohne dass es auf die Frage ankommt, ob das angegebene Klagerubrum auch ohne diese Kenntnis ausreichend war. Das beklagte Land hat der Beibehaltung des bisherigen Rubrums im Senatstermin ausdrücklich zugestimmt.

9

2. Dem Kläger steht aufgrund des Versandes von Schriftstücken per Telefax an die dortige Antragsgegnerin N. V. in den von ihm geführten Verfahren N01 vor dem VG Münster kein Schadensersatz gemäß Art. 82 Abs. 1 DSGVO zu.

10

Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen die Vorschriften der DSGVO ein materieller und immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Vorliegend fällt dem beklagten Land zwar ein Verstoß gegen die Vorschriften der DSGVO zur Last. Jedoch vermochte der Kläger den Eintritt eines ersatzfähigen Schadens nicht nachzuweisen.

11

a) Das Verwaltungsgericht Münster hat durch das von ihm durchgeführte unverschlüsselte Übermitteln von Schriftstücken mittels Telefax an die N. V. gegen die Vorschrift des Art. 32 DSGVO i. V. m. Art. 5 DSGVO verstoßen. Für den Verstoß durch eine Landesbehörde bei der Ausführung einer dienstlichen Tätigkeit ist das beklagte Land verantwortlich.

12

Gemäß Art. 32 Abs. 1 DSGVO haben die Verantwortlichen und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diesen Anforderungen hat das VG Münster in dem konkreten Einzelfall des Klägers durch die Übersendung der Telefaxe nicht genügt.

13

a.1) Der Kläger hat insofern schlüssig und überzeugend dargelegt, dass die unverschlüsselte Übersendung eines Telefaxes mit einem Risiko des Abfangens und der Einsichtnahme durch unbefugte Dritte in die mit dem Telefax unverschlüsselt übermittelten personenbezogenen Daten verbunden ist. Eine Telefaxübersendung ist deshalb mit dem Versand einer offenen Postkarte vergleichbar. Diese Einschätzung wird gestützt durch die von der Beklagten als Anlage B 1 zur Klageerwiderung vorgelegte Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit des Landes Rheinland-Pfalz wie auch der vom Kläger zitierten Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit des Landes Bremen aus Mai 2021 und ist zudem der Ausgangspunkt der von dem Kläger erwirkten Entscheidungen des Verwaltungsgerichts Osnabrück im Urteil vom 30.01.2019 zum Aktenzeichen 6 A 211/17 und des niedersächsischen Oberverwaltungsgerichts im Beschluss vom 22.07.2020 zum Aktenzeichen 11 LA 104/19. Das OVG beruft sich in seiner Entscheidung zum Beleg seiner Auffassung wiederum auf Informationen des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen. Substantiierte Einwendungen gegen die Richtigkeit dieser Einschätzungen hat das beklagte Land nicht erhoben.

14

a.2) Aufgrund der unsicheren Datenübertragung durch das Telefax war das Verwaltungsgericht Münster in dem von dem Kläger angestrengten Rechtsstreit gegen die N. V. zum Aktenzeichen N01 gehalten, von der Übersendung solcher Schriftstücke abzusehen, die persönliche Daten des Klägers enthielten und einen Rückschluss auf seine berufliche Tätigkeit zuließen.

15

Dabei teilt der erkennende Senat die Auffassung des Landesbeamten für den Datenschutz und die Informationssicherheit des Landes Rheinland-Pfalz, wonach jedenfalls zu dem damaligen Zeitpunkt, als eine Übersendung von Schriftstücken in dem anhängigen verwaltungsgerichtlichen Verfahren mittels EGVP nicht möglich war, die Übersendung per Telefax nicht generell rechtswidrig war. Art. 32 DSGVO stellt klar, dass bei der Beurteilung der Frage, ob bei der Übermittlung und Verarbeitung persönlicher Daten ein angemessenes Datenschutzniveau eingehalten ist, sämtliche Umstände des Einzelfalls zu berücksichtigen sind. Insofern ist nicht zu verkennen, dass jedenfalls zum damaligen Zeitpunkt die Übersendung per Telefax ein verbreitetes und übliches Mittel der Übermittlung von Schriftstücken darstellte, durch welches etwa Postlaufzeiten vermieden und die Bearbeitungsdauer verkürzt werden konnte. Fälle, in denen Faxübermittlungen systematisch abgefangen und so persönliche Daten von Beteiligten erlangt und unbefugt verwendet wurden, sind nicht erkennbar. Derartige Vorfälle vermochte weder der Kläger vorzutragen, noch sind sie dem Senat anderweitig bekannt geworden.

16

Gleichwohl erweist sich im Falle des Klägers die Telefaxversendung aufgrund seiner besonderen erhöhten Gefährdungslage als unzulässig. Der Kläger hat insofern nachvollziehbar dargelegt, dass er als Inhaber einer Firma, die explosionsgefährliche Stoffe vertreibt und die über eine Erlaubnis gemäß § 7 Sprengstoffgesetz verfügt, einer Gefahr ausgesetzt ist, dass Unbefugte bei einer sich bietenden Gelegenheit, insbesondere wenn ihnen Identität und Aufenthalt des Klägers bekannt werden, versuchen könnten, durch kriminelles Handeln unter Verletzung von Leib, Leben oder Eigentum des Klägers an den von seiner Firma vertriebenen Sprengstoff heranzukommen, was wiederum die Gefahr der Begehung weiterer erheblicher Straftaten mit dem erbeuteten Sprengstoff nach sich ziehen würde. Aus diesem Grund ist der Kläger, wie auch die von ihm geführten unterschiedlichen Gerichtsverfahren zeigen, bemüht, im Rahmen seines öffentlichen Handelns eine Verbreitung seiner persönlichen Daten zu verhindern, seine berufliche Tätigkeit zu verschleiern und Dritten keine Gelegenheit zu geben, ihn bei seinem geschäftlichen Handeln zu identifizieren und seinen Aufenthalt ausfindig zu machen. Auch wenn es sehr unwahrscheinlich erscheinen mag, dass gerade die durch das Verwaltungsgericht Münster versandten Telefaxe in die Hände Unbefugter gelangen und einen Angriff auf den Kläger ermöglichen, war es aufgrund der beträchtlichen Gefahren für den Kläger und die Allgemeinheit beim Abfangen der gefaxten Schriftstücke einerseits und des Fehlens von nennenswertem Mehraufwand für ihre anderweitige Übersendung in dem gerichtlichen Verfahren an die dortige Antragsgegnerin geboten, von der Telefaxübersendung abzusehen und die Schriftstücke auf anderem Wege – in Betracht kommt insofern der Postweg – zu übermitteln. Der Umstand, dass auch der Postweg keine absolute Sicherheit davor bietet, dass Postsendungen in die Hände unbefugter Dritter geraten, steht dem nicht entgegen, weil ein systematisches Abfangen von Postsendungen – anders als bei den von einem Telefaxgerät versandten Fernkopien – schon von vornherein nicht möglich und daher ein systematisches Vorgehen zum Erlangen persönlicher Daten praktisch ausgeschlossen ist.

17

Auf seine besondere Gefährdungslage hatte der Kläger in seiner Antragschrift vom 06.10.2021 durch eine Anlage „Vertrauliche Hinweise nur für das Gericht“ ausdrücklich hingewiesen und auf Seite 12 der Antragsschrift zudem darum gebeten, von einer Übermittlung per Telefax im Rechtsstreit zu verzichten. Darüber hinaus enthält die Antragsschrift weitere nähere Ausführungen zu seiner beruflichen Tätigkeit und der sich daraus für ihn ergebenden Gefährdungslage.

18

b) Eine Exkulpation des beklagten Landes gemäß Art. 82 Abs. 3 DSGVO ist nicht erfolgt.

19

c) Gleichwohl hat die Klage keinen Erfolg, denn es kann nicht festgestellt werden, dass dem Kläger aufgrund des Verstoßes gegen die Datenschutzbestimmung ein immaterieller Schaden entstanden ist.

20

Nach der Rechtsprechung des Europäischen Gerichtshofs und des Bundesgerichtshofes, welcher der erkennende Senat folgt, muss neben den Verstoß gegen die Datenschutzgrundverordnung ein Schaden treten, um einen Anspruch auf Schadensersatz auszulösen. Der immaterielle Schaden besteht nicht schon in der Verletzung der Vorschriften der Datenschutzgrundverordnung. Erforderlich ist vielmehr im Sinne einer eigenständigen Anspruchsvoraussetzung ein Schaden, der tatsächlich eingetreten sein muss, ohne dass er einen bestimmten Grad an Schwere oder Erheblichkeit erreichen muss (vgl. EuGH Urteil vom 20.06.2024 – C-182/22, C-189/22, Rdn. 41 m. w. N.; BGH, Beschluss vom 12.12.2023 – VI ZR 277/22 Rdn. 5; Urteil vom 18.11.2024 – VI ZR 10/24, Rdn. 21, 28 ff., sämtlich veröffentlicht bei juris).

21

Ein solcher Schaden ergibt sich vorliegend jedoch weder aufgrund eines Kontrollverlusts hinsichtlich der persönlichen Daten des Klägers (dazu c.1) noch aufgrund von Befürchtungen, Sorgen oder Ähnlichem (c.2).

22

c.1) Ein Schaden allein aufgrund eines Kontrollverlustes ist nicht eingetreten.

23

Wie der Bundesgerichtshof im Urteil vom 18.11.2024 entschieden hat, stellt der – selbst kurzzeitige – Verlust der Kontrolle über Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO dar, ohne dass es sich daraus entwickelnder besonderer Befürchtungen oder Ängste der betroffenen Person bedarf; solche zusätzlichen spürbaren negativen Folgen sind lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (vgl. BGH, Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 30 f. m. w. N.). Ebenso wenig ist erforderlich, dass es im konkreten Einzelfall zu einer missbräuchlichen Verwendung der betreffenden Daten gekommen ist (vgl. BGH, Urt. v. 18.11.2024 – VI ZR 10/24, juris Rn. 30 m.w.N.). Der erkennende Senat folgt dieser Auslegung der DSGVO.

24

Gleichwohl lässt sich vorliegend nicht feststellen, dass es hinsichtlich der persönlichen Daten des Klägers aufgrund des Telefaxversands zu einem Kontrollverlust gekommen ist. Zwar steht außer Frage, dass durch die Versendung der Telefaxe die in den gefaxten Schreiben enthaltenen persönlichen Daten des Klägers den Kontrollbereich des beklagten Landes verlassen haben. Gleichwohl fehlt aber jeder Anhaltspunkt und ist praktisch auszuschließen, dass diese Daten auf dem gewählten Übermittlungsweg einem anderen Empfänger als der dazu bestimmten und berechtigten Empfängerin, der N. V., zur Kenntnis gelangt sind. Denn – wie bereits oben ausgeführt wurde – fehlt jeder Anhaltspunkt dafür, dass es zu einer systematischen Überwachung des Faxverkehrs des Verwaltungsgerichts Münster oder der N. V. durch Dritte gekommen sein könnte, zumal die Antragstellung des Klägers gegen die N. für keinen außenstehenden Dritten absehbar war. Zudem hat der Kläger weder schriftsätzlich vorgetragen, noch vermochte er bei seiner Anhörung durch den Senat darzustellen, dass es nach dem Versenden der Telefaxe zu irgendwelchen Vorfällen kam, die konkret zu der Sorge Anlass geben konnten, dass die gefaxten persönlichen Daten für einen unbefugten Dritten verfügbar geworden sind. Nachdem im Zeitpunkt der Anhörung des Klägers durch den Senat am 17.01.2025 bereits mehr als 3 Jahre seit dem Versenden der Telefaxe vergangen waren, besteht aus Sicht des Senats kein vernünftiger Zweifel mehr daran, dass die datenschutzwidrige Versendung der Telefaxe – erwartungsgemäß – folgenlos geblieben ist.

25

c.2) Allerdings reicht auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden konnte, die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung von Dritten missbräuchlich verwendet wird, aus, um einen Schadensersatzanspruch zu begründen. Die Befürchtung samt ihrer negativen Folgen muss nachgewiesen sein. Lediglich die bloße Behauptung einer Befürchtung ohne nachgewiesene negativen Folgen genügt ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. BGH, a.a.O., Rdn. 32 m.w.N.).

26

Der Senat geht zwar nach dem Ergebnis der Anhörung des Klägers davon aus, dass die Kenntnis von dem eingetretenen Datenschutzverstoß kurzzeitig die Besorgnis bei ihm ausgelöst hat, dass Kriminelle an die Daten gelangt sind und daher Straftaten ihm gegenüber planen könnten. Ebenso lässt sich seine Verärgerung über die Handhabung bei dem Verwaltungsgericht ungeachtet der von ihm ausdrücklich geäußerten und unter Darlegung seiner persönlichen Situation begründeten Bitte, keine Schriftstücke per Telefax zu versenden, nachvollziehen.

27

Gleichwohl scheitert das Ersatzverlangen des Klägers daran, dass nach der Rechtsprechung des Bundesgerichtshofes, der der Senat folgt, die vom Anspruchsteller angeführte Besorgnis vor einer missbräuchlichen Verwendung seiner Daten durch unbefugte Dritte in objektiver Hinsicht „begründet“ sein muss und ein rein hypothetisches Risiko insoweit nicht ausreicht (BGH, Urteil vom 18.11.2024, VI ZR 10/24 – Rz. 32 zitiert nach Juris). Gleiches gilt auch für vom Antragsteller aufgrund des Datenschutzverstoßes geltend gemachte negative Gefühle wie Unmut und Ärger über den Datenschutzverstoß. Auch solche negativen Empfindungen vermögen nur dann einen zu entschädigenden Schaden darstellen, wenn für sie in objektiver Hinsicht ein begründeter Anlass besteht. Dies setzt die Anwendung eines objektiven Maßstabs voraus. Dabei ist u.a. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung (BAG, Urteil vom 20.06.2024, 8 AZR 124/23 – Rz. 15 zitiert nach juris).

28

Danach lässt sich vorliegend ein zu ersetzender immaterieller Schaden des Klägers nicht feststellen,weil sich das durch die Telefaxversendung geschaffene Risiko, dass die Daten des Klägers durch eine Überwachung der Datenübermittlung an unbefugte Dritte gelangt sind und von ihnen missbräuchlich verwendet werden, in der hier vorliegenden Situation letztlich als rein hypothetische Möglichkeit erweist, welche sich nicht realisiert hat und für deren Realisierungsgefahr kein auch nur geringfügiger konkreter Anhaltspunkt erkennbar ist.

29

Wie bereits ausgeführt, hat der Kläger nicht dargelegt und ist dem Senat auch nicht anderweitig bekannt geworden, dass es jemals bisher zu einer Überwachung des Telefaxverkehrs zwischen Verwaltungsgerichten und Behörden durch Unbefugte mit dem Ziel, Informationen über Verfahrensbeteiligte zu erhalten und sie zu einem kriminellen Vorgehen auszunutzen, gekommen ist. Es ist auch nicht anzunehmen, dass es hierzu künftig kommen könnte. Denn allein durch die vom Kläger beschriebene bestehende Möglichkeit, in Glasfasernetze einzudringen und Daten abzugreifen, entsteht für Unbefugte mit kriminellen Absichten noch kein Interesse am Erlangen beliebiger Daten. Solange für derartige Täter kein Nutzen hinsichtlich der erlangten Daten absehbar ist, erscheint es völlig fernliegend, dass sie den Aufwand der Überwachung und Auswertung einer großen Datenmenge betreiben. Im vorliegenden Streitfall war jedoch für keinen außenstehenden Dritten absehbar, dass der Kläger unter Offenlegung seiner Verfügungsmöglichkeit über Sprengstoffe am 06.10.2021 einen Antrag auf Erlass einer einstweiligen Anordnung beim Verwaltungsgericht Münster einreichen und dieses zwei Tage später den Antrag per Telefax an die N. V. übersenden würde. Ebenso wenig konnte ein außenstehender Dritter vorhersehen, dass der N. V. eine derartige Antragsschrift per Telefax zugesandt werden würde. Damit verblieb allein die Gefahr, dass etwa aufgrund falscher Adressierung oder des Zugriffs unbefugter Personen im Bereich der N. als Empfängerin Unbefugte an die Telefaxe und die darin enthaltenen Daten gelangen können. Derartige Gefahren bestehen jedoch unvermeidlich bei jeglicher Übersendung von Schriftstücken und hätten auch bei der vom Kläger konsentierten Übersendung der Prozessunterlagen mit der Post bestanden.

30

III.

31

Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit ergeht gemäß §§ 708 Nr. 10, 713 ZPO.

32

IV.

33

Die Revision war nicht zuzulassen. Ein Zulassungsgrund gemäß § 543 Abs. 2 S. 1 ZPO ist nicht gegeben, weil es sich vorliegend um eine Einzelfallentscheidung handelt. Die im vorliegenden Rechtsstreit entscheidungserheblichen Rechtsfragen sind durch die Rechtsprechung des Europäischen Gerichtshofs und des Bundesgerichtshofs hinreichend geklärt. Ebenso wenig besteht Veranlassung für die Einleitung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV. Denn mit der vorliegenden Entscheidung weicht der Senat nicht von der Rechtsprechung des Europäischen Gerichtshofes ab und entscheidet auch nicht über noch zu klärende Rechtsfragen der DSGVO. Er folgt zudem der Rechtsprechung des Bundesgerichtshofs, der bei seiner Entscheidung im Leitentscheidungsverfahren (Urteil vom 18.11.2024 – VI ZR 10/24, a.a.O.) ebenfalls keinen Grund mehr gesehen hat, das ihm vorliegende Verfahren wegen noch ungeklärter Fragen auszusetzen (vgl. die dortigen Ausführungen Rdn. 81 ff.).