1

Gründe:

2

I.

3

Gegenstand des Ausgangsrechtsstreits

4

1              Die Kläger verlangen im hiesigen Rechtsstreit immateriellen Schadensersatz von den Beklagten auf Grund von Verletzungen von Vorschriften der DSGVO (Verordnung (EU) 2016/679).

5

2              Die Kläger waren Mandanten der Beklagten zu 1, einer Steuerberaterkanzlei, deren Gesellschafter die Beklagten zu 2-6 sind.

6

3              Nachdem die Kläger der Beklagten zu 1 mitgeteilt hatten, dass sich ihre Wohnanschrift geändert habe, übermittelte die Beklagte zu 1 diesen mehrere Schreiben per Post an die neue Anschrift. Die Anschriftenänderung wurde auch in den in der EDV der Beklagten gespeicherten Stammdaten nachvollzogen.

7

4              Die Kläger beauftragten die Beklagte zu 1 im Juli 2020 mit der Erstellung der Einkommenssteuererklärung für das Jahr 2019. Hierzu erhielten die Kläger an ihrer neuen Anschrift zunächst keinerlei Unterlagen übersandt. Auf Nachfrage teilte die Beklagte zu 1 den Klägern mit, dass die Steuererklärung am 29.09.2020 an die Kläger versandt worden sei. Eine derartige Postsendung ging bei den Klägern jedoch nicht ein. Die Kläger fragten hierauf noch einmal an, wann genau und an welche Anschrift die Unterlagen versandt worden seien, erhielten aber keine Antwort.

8

5              Hiernach fragten die Kläger bei den neuen Bewohnern ihrer vormaligen Anschrift an, deren Nachnamen den Nachnamen der Kläger sehr ähnlich sind. Mit diesen neuen Bewohnern hat es nach Angaben der Kläger im Nachgang zum Verkauf der Immobilie an diese erhebliche Unstimmigkeiten gegeben.

9

6              Diese teilten mit, dass eine Postsendung bei Ihnen eingegangen sei, die an die Kläger gerichtet gewesen sei. Eine neue Bewohnerin hatte den Umschlag geöffnet, weil sie nicht erkannt hatte, dass die Postsendung nicht für sie bestimmt gewesen ist, obgleich diese an die im Adressfeld namentlich korrekt benannten Kläger adressiert war. Welche Unterlagen sich konkret in dem Umschlag befunden haben, als dieser bei den neuen Bewohnern eingegangen war, konnte im Rahmen der Beweisaufnahme nicht aufgeklärt werden. Zudem konnte nicht aufgeklärt werden, inwieweit die neuen Bewohner die im Umschlag enthaltenen Unterlagen angeschaut haben oder nicht. Die neue Bewohnerin gibt an, sie habe lediglich den Briefkopf der Steuerberaterkanzlei zur Kenntnis genommen und – weil ihr dieses nicht bekannt gewesen sei – deshalb erkannt, dass der Brief nicht an sie gerichtet gewesen sei. Hierauf habe sie die Unterlagen wieder in den Umschlag geschoben und zur Abholung durch die Kläger bereit gelegt, und zwar bei den nebenan wohnenden Eltern der neuen Bewohner.

10

7              Die Kläger haben jedenfalls letztlich den Umschlag von den neuen Bewohnern übergeben erhalten. Zu diesem Zeitpunkt befanden sich im Umschlag lediglich eine Kopie der Steuererklärung sowie das Anschreiben. Die Kläger gehen davon aus, dass sich in dem Umschlag auch das Original der Steuererklärung einschließlich der Angaben zu Namen und Geburtsdaten der Kläger und ihrer Kinder (einschließlich der Steueridentifikationsnummer), Schwerbehinderteneigenschaft (der Kläger verfügt über einen festgestellten Grad der Behinderung von 60), Arztkosten, Arbeitsstätte, Zugehörigkeit zu einer Religionsgemeinschaft, Berufen, Ort der Arbeitsstätte, Aufwendungen für Arbeitsmittel, Fortbildungskosten, Versicherungen, Bankverbindungen befunden hat.

11

8              Die Versendung der Steuererklärung beruhte darauf, dass die Beklagte zwar die Anschrift in den Stammdaten der Kanzleisoftware geändert hatte, allerdings die Daten für die Steuererklärung aus einem anderen Datenbestand übernommen wurden, der die alte Anschrift enthielt.

12

9              Die Kläger stellen die Bestimmung des geschuldeten immateriellen Schadensersatzbetrags in das Ermessen des Gerichts und sehen einen Betrag von 15.000,00 EUR als angemessen an.

13

II.

14

Anwendbare Rechtsvorschriften

15

1. Unionsrecht

16

Verordnung (EU) 2016/679 – Datenschutzgrundverordnung (DSGVO):

17

Erwägungsgrund 85

18

10              Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.

19

[…]

20

Erwägungsgrund 146

21

11              Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Licht der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadensersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. […]

22

Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.

23

[…]

24

Artikel 82 – Haftung und Recht auf Schadenersatz

25

12              (1)

26

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

27

(2)

28

Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

29

[…]

30

Art. 83 – Allgemeine Bedingungen für die Verhängung von Geldbußen

31

[…]

32

13              (2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Art. 58 Abs. 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

33

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs und des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von Ihnen erlittenen Schadens;

34

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

35

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

36

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

37

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

38

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um den Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

39

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

40

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

41

i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

42

j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

43

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

44

(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

45

[…]

46

(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

47

a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

48

b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

49

[…]

50

2. Deutsches Recht

51

§ 57 Steuerberatungsgesetz (StBerG)

52

14              (1) Steuerberater und Steuerbevollmächtigte haben ihren Beruf unabhängig, eigenverantwortlich, gewissenhaft, verschwiegen und unter Verzicht auf berufswidrige Werbung auszuüben.

53

[…]

54

§ 5 Berufsordnung der Bundessteuerberaterkammer (BOStB)

55

15              (1) Die Pflicht zur Verschwiegenheit erstreckt sich auf alles, was Steuerberatern in Ausübung ihres Berufs oder bei Gelegenheit der Berufstätigkeit anvertraut worden oder bekannt geworden ist, und gilt gegenüber jedem Dritten, auch gegenüber Behörden und Gerichten.

56

[…]

57

(4) Steuerberater müssen dafür sorgen, dass Unbefugte während und nach Beendigung ihrer beruflichen Tätigkeit keinen Einblick in Mandantenunterlagen und Mandanten betreffende Unterlagen erhalten.

58

[…]

59

§ 823 Bürgerliches Gesetzbuch (BGB)

60

16              (1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.(2) Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.

61

§ 253 Bürgerliches Gesetzbuch (BGB)

62

17              (1) Wegen eines Schadens, der nicht Vermögensschaden ist, kann Entschädigung in Geld nur in den durch das Gesetz bestimmten Fällen gefordert werden.

63

(2) Ist wegen einer Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung Schadensersatz zu leisten, kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld gefordert werden.

64

III.

65

Erforderlichkeit der Vorlage

66

Vorlagefragen Nr. 1 und 2

67

18              Aus Art. 82 Abs. 1 DSGVO ergibt sich für jede Person, die einen immateriellen Schaden erlitten hat, der auf einem Verstoß gegen die DSGVO beruht, ein Anspruch auf Ersatz.

68

19              Insofern stellt sich zunächst die Frage, ob bereits die Verletzung von Vorschriften, die den Schutz der personenbezogenen Daten der anspruchstellenden Person bezwecken, für sich genommen einen Anspruch auf Ersatz begründen kann.

69

20              Ob die Frage zu bejahen ist, ergibt sich nicht aus dem Wortlaut der o.g. Vorschriften. Aus Erwägungsgrund 146 DSGVO lässt sich aber entnehmen, dass der Schadensbegriff grundsätzlich weit auszulegen ist und die Auslegung den spezifischen Maßgaben der DSGVO zu folgen hat. Im Zusammenspiel mit Erwägungsgrund 85 könnte sich die Schlussfolgerung ergeben, dass bereits der aus einem DSGVO-Verstoß folgende (mögliche) Verlust der Kontrolle über die eigenen personenbezogenen Daten einen Anspruch auf immateriellen Schadensersatz begründet, und zwar unabhängig davon, ob über die bloße Verletzung der Vorschriften hinaus eine Beeinträchtigung eingetreten ist. Hingegen nennt Erwägungsgrund 85 auch „erhebliche […] Nachteile“, was dagegen sprechen könnte.

70

21              Die Beantwortung dieser Frage ist selbst dann relevant, wenn eine weitere Beeinträchtigung vorliegt. Denn hinsichtlich der Höhe des zu leistenden immateriellen Schadensersatzes nimmt die DSGVO keine konkrete Eingrenzung vor, sodass diese letztlich durch die Gerichte vorzunehmen ist. Dabei wird es bei der Bestimmung eines konkret zu leistenden Betrages auf die Schwere des Verstoßes und der hierdurch verursachten Beeinträchtigungen ankommen. Die Ausfüllung dieser Begriffe erfolgt jedoch notwendigerweise immer in Relation zu anderen möglichen Verstößen. Insofern ist es auch für Fallkonstellationen, in denen eine weitergehende Beeinträchtigung feststeht, von Relevanz, ob bereits die bloße Verletzung von Vorschriften der DSGVO ausreicht, um einen Anspruch auf immateriellen Schadensersatz zu begründen, da hierdurch die ‚Untergrenze‘ gedanklich nach oben verschoben würde.

71

22              Dem deutschen Recht war bislang ein Anspruch auf Ersatz von immateriellen Schäden, ohne dass eine über die Verletzung einer Gesetzesvorschrift hinausgehende erhebliche Beeinträchtigung festgestellt werden könnte, fremd.

72

23              Die nationale höchstrichterliche Rechtsprechung nahm einen Anspruch auf Geldentschädigung bei Verletzungen des allgemeinen Persönlichkeitsrechts an, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend ausgeglichen werden kann. Ob eine so schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, dass die Zahlung einer Geldentschädigung erforderlich ist, könne nur aufgrund der gesamten Umstände des Einzelfalls beurteilt werden. Hierbei sind insbesondere die Bedeutung und Tragweite des Eingriffs, Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen (exemplarisch Bundesgerichtshof, Urteil vom 14.11.2017 – VI ZR 534/15; ECLI:DE:BGH:2017:141117UVIZR534.15.0).

73

24              Ob diese nationale Rechtsanwendung sich auch für die Auslegung von Art. 82 DSGVO eignet, erscheint nicht nur, aber auch, auf Grund der o.g. Erwägungsgründe zweifelhaft.

74

Vorlagefrage Nr. 3

75

25              Würde der Schadensbegriff im o.g. Sinne weit ausgelegt, könnte auch die (objektiv berechtigte) Besorgnis, dass personenbezogene Daten in unberechtigte Hände gelangt sind, einen zu ersetzenden immateriellen Schaden darstellen. Diese Frage ist für den vorliegenden Rechtsstreit besonders relevant, weil nicht aufgeklärt werden konnte, inwiefern die neuen Bewohner Kenntnis vom Inhalt der an die Kläger gerichteten Postsendung erlangt haben. Denn es erscheint jedenfalls möglich, dass die neuen Bewohner den Sendungsinhalt tatsächlich weitgehender zur Kenntnis genommen haben, als sie es im Rahmen ihrer Zeugenaussagen bekundet haben. Zudem haben die neuen Bewohner die Postsendung nicht selbst verwahrt, sondern den geöffneten Umschlag bei den (Schwieger-)Eltern zur Abholung bereitgelegt.

76

26              Sofern die anhand objektiver Anhaltspunkte berechtigterweise bestehende Sorge, dass personenbezogene Daten in fremde Hände gelangt sein könnten, zur Begründung eines Anspruchs auf immateriellen Schadensersatz für sich genommen ausreichen sollte, wäre den Klägern ein solcher zuzusprechen. Zugleich würde sich hieraus eine Änderung der relativen Schwere anderer Verstöße ergeben, die sich auf die Bemessung des konkreten Schadensersatzbetrags auswirkt (s.o.).

77

Vorlagefrage Nr. 4

78

27              Der DSGVO lässt sich für den Bereich des immateriellen Schadensersatzes keine dem für die Verhängung von Geldbußen geltenden Art. 83 DSGVO vergleichbare Norm entnehmen, nach der die Höhe des geschuldeten Ersatzes einheitlich bestimmt werden könnte.

79

28              Insofern läge es nahe, die dortigen Kriterien – soweit übertragbar – auch bei der Bemessung des immateriellen Schadensersatzes heranzuziehen.

80

29              Gleichzeitig ließe sich gegen eine Heranziehung der Vorschrift einwenden, dass der Verordnungsgeber die Regelungen in Art. 83 DSGVO explizit auf den Bereich der Geldbußen beschränkt hat. Dies könnte einer Erstreckung des Anwendungsbereichs auf den immateriellen Schadensersatz entgegenstehen, wenngleich sich in Teilbereichen notwendigerweise Überschneidungen ergäben (Schwere des Verstoßes, Erheblichkeit der Auswirkungen).

81

30              Nicht zuletzt kommt der Frage nach der entsprechenden Anwendung des § 83 Abs. 5 DSGVO erhebliche Bedeutung zu, da hierdurch für dessen (entsprechenden) Anwendungsbereich Obergrenzen vorgegeben wären.

82

Vorlagefrage Nr. 5

83

31              Erwägungsgrund 146 enthält die Maßgabe, dass der Schadensbegriff weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht und dafür Sorge trägt, dass die betroffene Person einen vollständigen und wirksamen Schadensersatz erhält.

84

32              Insbesondere die Bezugnahme auf die Wirksamkeit könnte dafür sprechen, dass durch die Bemessung von immateriellen Schadensersatzansprüchen auch eine Abschreckungsfunktion entfaltet werden soll.

85

33              Wäre das nicht der Fall und würden die geschuldeten Schadensersatzbeträge vergleichsweise niedrig angesetzt, könnte durch Verantwortliche eine Abwägung zwischen den Kosten der DSGVO-konformen Ausgestaltung und den ggf. zu zahlenden Schadensersatzbeträgen stattfinden.

86

34              Gegen die Annahme, dass Art. 82 DSGVO ein Abschreckungseffekt zugedacht sei, könnte allerdings sprechen, dass die Verhängung von Geldbußen durch die zuständigen Behörden eine ausreichende Abschreckung darstellt, die eine weitere Abschreckung über die Bemessung des immateriellen Schadensersatzes nicht erfordert.

87

Vorlagefrage Nr. 6

88

35              Die Beklagte zu 1 des Ausgangsrechtsstreits ist eine Steuerberatergesellschaft, die übrigen Beklagten sind deren Gesellschafter und selbst Steuerberater.

89

36              Diesen sind wegen ihres Berufs besondere Verschwiegenheitspflichten auferlegt, die sich aus § 57 StBerG und § 5 BOStB ergeben, sodass sich bei Verstößen gegen Vorschriften der DSGVO, die zu Datenweitergaben an Unbefugte führen oder diese beinhalten, regelmäßig auch Verletzungen der o.g. Verschwiegenheitspflichten ergeben.

90

37              Die Kläger sind der Ansicht, dass die gleichzeitige Verletzung des vorbenannten Berufsrechts im Rahmen der Bemessung des nach Art. 82 DSGVO geschuldeten immateriellen Schadensersatzes zu berücksichtigen sei.

91

38              Hieran bestehen Zweifel, weil Erwägungsgrund 146 sich mit Verstößen gegen nationales Recht befasst und insoweit ausschließlich auf nach Maßgabe der vorliegenden Verordnung erlassene delegierte Rechtsakte und Durchführungsrechtsakte und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung Bezug nimmt. Um solche handelt es sich bei § 57 StBerG und § 5 BOStB nicht, vielmehr waren diese Vorschriften bereits in Kraft, als die DSGVO erlassen worden ist.

92

Vorlageersuchen

93

39              Die im Rahmen der Vorlagefragen aufgeworfenen Rechtsprobleme sind in der Rechtsprechung des Gerichtshofs der Europäischen Union bislang nicht geklärt und können auch aus dem Wortlaut der DSGVO selbst nicht mit hinreichender Deutlichkeit einer Klärung zugeführt werden.

94

40              Insbesondere zeigt sich in der nationalen Rechtsprechung sowie Rechtswissenschaft, dass ein Teil die bisher zum nationalen Recht vertretene Sichtweise, dass der Zuspruch immateriellen Schadensersatzes sowohl dem Grunde als auch der Höhe nach restriktiv zu handhaben sei, auch auf Art. 82 DSGVO anwenden will. Dieser Linie hat sich offenbar auch das dem hiesigen Amtsgericht übergeordnete Landgericht Duisburg angeschlossen. Dieses hat den Rechtsstreit trotz der von den Klägern angegebenen Größenordnung (15.000,00 EUR) wegen sachlicher Unzuständigkeit (das Landgericht wäre ab Überschreiten der Wertgrenze von 5.000,00 EUR zuständig, das Amtsgericht für die darunter liegenden Werte) an das Amtsgericht verwiesen. Das Landgericht ging hierbei davon aus, dass die klägerseits erfolgte Schätzung fernliegend und übertrieben sei, vielmehr ein immaterieller Schadensersatzanspruch maximal in Höhe von 2.000,00 EUR denkbar wäre.

95

41              Soweit der OGH Österreich mit Beschluss vom 15.04.2021 und das LG Saarbrücken mit Beschluss vom 22.11.2021 – Rechtssachen C-741/21 und C-300/21 bereits Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union gerichtet haben, stimmen die dortigen Fragen nur teilweise mit den hier gestellten Fragen überein. Mit den vorbenannten Rechtssachen könnte eine Verbindung in Betracht kommen.