DA+

Urteil : Zu den Voraussetzungen des Art. 82 DS‑GVO und zur Reichweite des Art. 15 DS‑GVO : aus der RDV 6/2023, Seite 392-393

(OLG Köln, Urteil vom 10. August 2023 – 15 U 149/22 –)

Archiv RDV
Lesezeit 4 Min.
  1. Dass der Art. 82 Abs. 1 DS-GVO nach der jüngsten Rechtsprechung des EuGH keine „Erheblichkeitsschwelle“ kennt, befreit die betroffene Person nicht von der Verpflichtung, nachzuweisen, dass der Verstoß für sie negative Folgen gehabt hat und diese Folgen einen immateriellen Schaden darstellen.
  2. Der Anspruch auf Erteilung einer Datenauskunft einer Patientin gegen eine Klinik gem. Art. 15 DS-GVO umfasst über die Behandlungsdokumentation (§  630g BGB) hinaus auch die in den Datensystemen der Krankenhausverwaltung gespeicherten personenbezogenen Daten.
  3. Der Datenauskunftsanspruch der Patientin gegen die Klinik umfasst überdies auch diejenigen personenbezogenen Daten über sie, welche die Klinik mit ihrer Haftpflichtversicherung und ihren Rechtsanwälten geteilt hat.

(Leitsätze von RA Dr. Martin Riemer)

Aus den Gründen:

Den erstinstanzlichen Klageantrag zu 11, den die Klägerin mit ihrem Berufungsantrag zu 1 weiterverfolgt, hat das Landgericht zu Recht abgewiesen. Es hat zu Recht angenommen, dass der Klägerin ein Anspruch auf Ersatz eines immateriellen Schadens gemäß Art.  82 Abs.  1 DS-GVO nicht zusteht. Zwar hat der Senat entschieden, dass Verstöße gegen Auskunftspflichten aus Art.  15 DS-GVO Grundlage für einen Ersatzanspruch gemäß Art.  82 Abs.  1 DS-GVO sein können (Urt. v. 14.07.2022 15 U 137/21, NJW-RR 2023, 564 Rn. 14). Das Landgericht hat aber zutreffend ausgeführt, dass im Streitfall – anders als in dem Fall, der dem Senatsurteil v. 14.07.2022 zugrunde lag (vgl. NJW-RR 2023, 564 Rn. 15) – jeglicher nachvollziehbare Vortrag dazu fehlt, dass der Klägerin ein immaterieller Schaden entstanden ist. Ein solcher Vortrag ist auch nicht entbehrlich. Denn der Europäische Gerichtshof hat mit Urt. v. 04.05.2023 – C-300/21 – entschieden, dass der bloße Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffene Person nachweisen, dass der Verstoß für sie negative Folgen gehabt hat und diese Folgen einen immateriellen Schaden darstellen, wobei es dann nicht auf einen bestimmten Grad an Erheblichkeit ankommt (NJW 2023, 1930 Rn. 50 f.). Im Streitfall hat die Klägerin den ihr obliegenden Nachweis eines immateriellen Schadens auch im Berufungsverfahren nicht erbracht. Die Berufungsbegründung enthält zwar abstrakte Ausführungen zur Funktion des Anspruchs aus Art. 82 Abs. 1 DS-GVO und zu einem ohnmächtigen Kontrollverlust der betroffenen Person im Falle der Nichterfüllung einer verlangten Auskunft. Diese Ausführungen haben aber keinen konkreten Bezug zum Streitfall. Im Übrigen verweist die Berufung lediglich auf den Zeitablauf seit dem vorgerichtlichen Auskunftsverlangen und eine fortgesetzte Erfüllungsverweigerung der Beklagten, ohne irgendwelche negativen Folgen des geltend gemachten Verstoßes gegen Art. 15 DS-GVO für die Klägerin aufzuzeigen.

[…]

Der erstinstanzliche Klageantrag zu 1 ist auch begründet. Da die Beklagte unstreitig personenbezogene Daten der Klägerin verarbeitet, hat die Klägerin gemäß Art. 15 Abs. 1 Hs. 2 DS-GVO ein Recht auf Auskunft über diese personenbezogenen Daten und muss die Beklagte der Klägerin gemäß Art. 15 Abs. 3 S. 1 DS-GVO eine Kopie der personenbezogenen Daten zur Verfügung stellen. Dieser Anspruch ist bislang nicht vollständig erfüllt (§ 362 Abs. 1 BGB).

Erfüllt ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Wesentlich für die Erfüllung ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es bspw. dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irriger Weise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet (vgl. BGH, Urt. v. 15.06.2021 – VI ZR 576/19, NJW 2021, 2726 Rn. 20 f.).

Nach diesen Maßstäben hat die Beklagte den Auskunftsanspruch bislang nicht vollständig erfüllt. Sie hat sich lediglich darauf berufen, den Anspruch durch die Überlassung der Behandlungsdokumentation erfüllt zu haben. Sie hat sich jedoch nicht konkret dazu erklärt, ob sie – was nahe liegt – auch außerhalb der Behandlungsdokumentation personenbezogene Daten der Klägerin verarbeitet, etwa in – im Klageantrag eigens erwähnten – Dateisystemen der Krankenhausverwaltung. Ferner hat sie keinerlei Angaben zur Verarbeitung personenbezogener Daten der Klägerin im Zusammenhang mit der mit ihrer Haftpflichtversicherung und mit ihren Anwälten geführten Korrespondenz gemacht. Auch die Korrespondenz der Beklagten mit diesen oder anderen Dritten kann auf die Person der Klägerin bezogene Daten enthalten (vgl. BGH, Urt. v. 15.06.2021 – VI ZR 576/19, NJW 2021, 2726 Rn. 26). Entgegen der Auffassung der Beklagten steht die anwaltliche Schweigepflicht der Erteilung einer Auskunft über diese Daten nicht entgegen, denn die Beklagte unterliegt offensichtlich nicht der anwaltlichen Schweigepflicht. Auch sonst ist kein Grund ersichtlich, aus dem die Korrespondenz der Beklagten mit ihrer Haftpflichtversicherung und ihren Anwälten von der Pflicht zur Auskunftserteilung vollständig ausgenommen ist. Die Form und die Modalitäten der Auskunftserteilung und insbesondere die Frage, ob die Beklagte der Klägerin auch Auszüge aus den fraglichen Dokumenten oder gar ganze Dokumente übermitteln muss (vgl. dazu EuGH, Urt. v. 04.05.2023 – C-487/21 – EuZW 2023, 575 Rn. 18 ff.), bedürfen derzeit keiner Klärung. Denn bislang fehlt es – wie ausgeführt – an jeglichen Angaben zur Verarbeitung personenbezogener Daten im Zusammenhang mit der fraglichen Korrespondenz.