Schadensersatzanspruch bei fehlerhafter Verwaltung von Personalakten?

Das war der Fall

Die klagende Beamtin ist seit 1995 Bundesbeamtin bei einer Bundesanstalt in Hannover. Sämtliche Personalakten wurden dort von Landesbediensteten aus Niedersachsen verwaltet. Mehrere wirkungslose Beanstandungen der Klägerin führten erst nach Einschaltung des zuständigen Datenschutzbeauftragen des Landes Niedersachsen im Jahre 2019 zu einer Änderung. Zwischen den Parteien war danach noch streitig, ob der Klägerin aufgrund der temporären »fehlerhaften« Verwaltung ihrer Personalakte mögliche Ansprüche auf Schadensersatz aufgrund eines Verstoßes gegen die DSGVO zustehen.

Die Klägerin begehrte diesbezüglich die Feststellung, dass die Bundesanstalt wegen rechtswidriger Weitergabe von besonders beschützten Daten an Landesbedienstete zur Leistung von Schadensersatz verpflichtet sei.

In den Vorinstanzen wurde die Klage jeweils abgewiesen. Das Oberlandesgericht Celle hatte die Voraussetzungen des § 82 Abs. 1 DSGVO verneint, weil es an der Darlegung der Wahrscheinlichkeit des Eintritts eines Schadens bei der Klägerin fehle.

Das sagt das Gericht

Nach Auffassung des BGH seien im streitgegenständlichen Fall entgegen der Annahme der Vorinstanzen sämtliche Voraussetzungen für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO erfüllt. Insgesamt seien in Übereinstimmung mit der Rechtsprechung des Europäischen Gerichtshofs (EuGH) drei Bedingungen kumulativ zu erfüllen: ein Verstoß gegen die DSGVO, das Bestehen eines materiellen oder immateriellen Schadens sowie ein Kausalzusammenhang zwischen Verstoß und eingetretenem Schaden.

Die streitige Praxis, Personalakten von Bundesbeamten durch Landesbedienstete in Niedersachsen verwalten zu lassen, stelle eine nicht von § 111a BBG a. F. i. V. m. § 26 BDSG und Art. 88 DSGVO gedeckte Verarbeitung personenbezogener Daten durch Dritte dar und sei daher als Verstoß gegen die DSGVO zu bewerten.

Ein durch diesen Verstoß verursachter Schaden sei bereits in dem Umstand zu sehen, dass Betroffene durch Überlassung der Personalakten an Landesbedienstete vorübergehend die Kontrolle über ihre darin enthaltenen personenbezogenen Daten verlören.

Bereits ein solcher Kontrollverlust könne einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO begründen. Es sei nicht erforderlich, dass zusätzlich konkret benennbare Verletzungen der Persönlichkeitsrechte vorliegen. Ebenso wenig müsse die Beeinträchtigung ein besonderes Gewicht aufweisen, etwa indem sie über eine individuell empfundene Unannehmlichkeit hinausgehe oder das Selbstbild oder das Ansehen der Betroffenen ernsthaft beeinträchtige.

Nach diesen Maßstäben sei der Schaden darin zu sehen, dass personenbezogene Daten aus der Personalakte unbefugten Dritten – den Landesbediensteten in Niedersachsen – zur Bearbeitung überlassen wurden. Das Vorliegen eines Schadens sei auch nicht deswegen ausgeschlossen, dass diese Bediensteten der Verschwiegenheitspflicht unterlagen. Stattdessen sei dieser Umstand erst bei der Bemessung der Höhe eines etwaigen Schadensersatzes nach § 287 ZPO zu berücksichtigten.

Die Regelung des § 839 Abs. 3 BGB schließe zwar eine Ersatzpflicht bei einer Amtspflichtverletzung grundsätzlich aus, wenn Geschädigte es versäumen, Schäden durch die Nutzung von Rechtsmitteln abzuwenden. Diese Regelung ließe sich jedoch nicht auf den unionsrechtlichen Anspruch nach § 82 Abs. 1 DSGVO übertragen.

© bund-verlag.de (jb)