Die Berufung des Klägers gegen das Urteil des Sozialgerichts Düsseldorf vom 08.06.2022 wird zurückgewiesen.
Außergerichtliche Kosten sind auch im Berufungsverfahren nicht zu erstatten.
Die Revision wird zugelassen.
Die Festsetzung des Streitwerts im Urteil des Sozialgerichts Düsseldorf vom 08.06.2022 wird aufgehoben.
Tatbestand
Der Kläger begehrt eine Verurteilung des Beklagten zur Zahlung von immateriellem Schadensersatz i.H.v. 5.000 € auf der Grundlage von Art. 82 Datenschutzgrundverordnung (DSGVO).
Der Kläger bezog von 2005 bis 2009, für sieben Monate im Jahr 2013 und für einen Monat im Jahr 2016 vom Beklagten Leistungen zur Sicherung des Lebensunterhalts nach dem SGB II.
Mit E-Mail vom 16.07.2019 beantragte der Kläger beim Beklagten die Auskunft über seine bei diesem verarbeiteten, personenbezogenen Daten nach Art. 15 DSGVO. Er begehre Auskunft in dem in Art. 15 Abs. 1 lit. a bis h DSGVO genannten Umfang, mithin zu den Verarbeitungszwecken; zu den Kategorien personenbezogener Daten, die verarbeitet werden; zu den Empfängern oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden seien oder noch offengelegt würden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; falls möglich, zu der geplanten Dauer, für die die personenbezogenen Daten gespeichert würden, oder — falls dies nicht möglich sei — zu den Kriterien für die Festlegung dieser Dauer; zu dem Bestehen eines Rechts auf Berichtigung oder Löschung der ihn betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; zu dem Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben worden seien, zu allen verfügbaren Informationen über die Herkunft der Daten; zu dem Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Sein Auskunftsverlangen erstrecke sich auch auf den vollständigen Inhalt der Leistungsakten einschließlich der Vermerke in den elektronischen Dokumentationssystemen betreffend den Angelegenheiten nach dem SGB II sowie zu den durchgeführten Erstattungsverfahren (z.B. mit der Agentur für Arbeit) und den durchgeführten gerichtlichen Verfahren. Es sei mitzuteilen, ob personenbezogene Daten in Drittakten verarbeitet worden seien (z.B. in Akten, die in Angelegenheiten einer anderen Person geführt wurden); falls ja, sei diese Person zu benennen. Außerdem seien alle vereinnahmten und verauslagten Erstattungsbeträge (z.B. mit anderen Sozialleistungsträgern mit Angabe der beteiligten Stellen), den Erstattungszeitraum, die Erstattungshöhe und die Rechtsgrundlage der Erstattung anzugeben. Zudem beantragte der Kläger die Erteilung einer Kopie der vollständigen personenbezogenen Daten, die Gegenstand der Verarbeitung waren. Der Kläger beantragte die Auskunft gemäß Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format, z.B. PDF.
Nachdem der Kläger keine Rückmeldung vom Beklagten erhielt, erinnerte er mit Schreiben vom 21.08.2019 und 11.09.2019 an sein Auskunftsersuchen. Die beiden Schreiben versandte der Kläger per Fax an den Beklagten. Auf den vom Kläger vorgelegten Sendeprotokollen ist jeweils als Status „versandt“ vermerkt.
Am 30.10.2019 wandte der Kläger sich mit einer Beschwerde nach Art. 77 DSGVO an die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes NRW. Diese leitete die Beschwerde mit Schreiben vom 06.11.2020 zuständigkeitshalber an den Bundesbeauftragten für Datenschutz und Informationsfreiheit weiter. Dieser teilte dem Kläger mit Schreiben vom 10.01.2020 mit, dass dem Beklagten die Auskunftsanträge nicht bekannt seien. Er habe die Anträge weitergeleitet. Der Beklagte erklärte, das Auskunftsersuchen sei mit Schreiben des Datenschutzbeauftragten vom 10.01.2020 an ihn weitergeleitet worden, jedoch bei ihm nicht mit einem Eingangstempel versehen worden. Am 04.02.2020 teilte der Beklagte mit, die Anträge nunmehr zu bearbeiten.
Mit Schreiben vom 13.02.2020 erteilte der Beklagte dem Kläger eine Auskunft. Die Bundesagentur für Arbeit verarbeite Daten ausschließlich zum Zwecke ihrer gesetzlichen Aufgabenerledigung nach dem SGB. Sie sei zur wirtschaftlichen Erbringung von Geld-, Sach- und Dienstleistungen verpflichtet. Dazu zählten beispielsweise Beratungs- und Vermittlungszwecke sowie die Gewährung von Arbeitslosengeld und Leistungen der Grundsicherung für Arbeitssuchende nach dem SGB II, aber auch die Geltendmachung von Erstattungs- und Ersatzansprüchen. Darüber hinaus würden personenbezogene Daten auch bei der Erteilung von Arbeitsgenehmigungen, der Durchführung der Antragspflichtversicherung, der Durchführung von Erstattungsansprüchen anderer Sozialleistungsträger oder anderer Stellen und der Bekämpfung von Leistungsmissbrauch verarbeitet. Beschäftigtendaten, die der Arbeitgeber der Bundesagentur für Arbeit melden müsse, sowie alle für die Aufgabenerledigung der Bundesagentur für Arbeit erhobenen Daten würden u.a. zu Zwecken der Arbeitsmarkt- und Berufsforschung sowie zu Statistikzwecken verarbeitet. Es seien Stammdaten inklusive Kontaktdaten, (z.B. Kundennummern, Bedarfsgemeinschaftsnummer, Namen und Geburtsdaten, Anschrift, Familienstand, Staatsangehörigkeit, Aufenthaltsstatus, Renten-/Sozialversicherungsnummer, Bankverbindungen), Daten zur Leistungsgewährung (z.B. Einkommensnachweise, Vermögensnachweise, Leitungszeiträume, -höhe und –art, Bedarfe der Unterkunft und Heizung, Daten zu Unterhalts- und Regressansprüchen, Daten zur Kranken-, Renten-, Pflegeversicherung, Daten zur Dauer und Beendigung von Beschäftigungsverhältnissen, Vollstreckungsdaten und Daten zum Verfahren nach dem OWiG), Daten zur Berufsberatung und Vermittlung/Integration in Arbeit (z.B. Lebenslauf, schulische und berufliche Qualifikation, Fähigkeiten, Führerschein, Leistungsfähigkeit, Motivation, Rahmenbedingungen <Mobilität, familiäre und finanzielle Situation, Wohnsituation>, Daten von Maßnahmenträgern, Ärztlichem Dienst und Berufspsychologischem Service, Dokumentation der Kundenkontakte, Beratungs- und Vermittlungsvermerke, Daten von Stellenangeboten und -gesuchen und Rückmeldungen von Arbeitgebern), Gesundheitsdaten (z.B. Begutachtungen durch den Ärztlichen Dienst der Bundesagentur für Arbeit, dem Medizinischen Dienst der Krankenkassen, dem Berufspsychologischem Service der Bundesagentur für Arbeit) und Forschungs- und Statistikdaten verarbeitet worden. Die Daten könnten z.B. an andere Sozialleistungsträger, Arbeitgeber, Ausbildungsbetriebe, Maßnahmen-/Bildungsträger, Vertragsärzte, Finanzämter, Zollbehörden, Gerichte und Behörden der Gefahrenabwehr und andere Dritte wie kommunale Ämter, KFZ-Zulassungsstellen, das Bundeszentralamt für Steuern, das Bundesministerium für Arbeit und Soziales, den Bundesrechnungshof, das Bundesamt für Migration und Flüchtlinge, Auftragsverarbeiter (z.B. Scan- und IT-Dienstleister), Vermieter, Energieversorger, Schuldnerberatungen, Suchtberatungen, Schulen und externe Forschungsinstitute übermittelt werden. Es bestehe eine Speicherfrist von fünf bzw. sieben Jahren nach Beendigung des Falls für personenbezogene Daten zur Inanspruchnahme von Leistungen nach dem SGB II. Die Speicherdauer könne sich z.B. wegen anhängiger Rechtsstreite verlängern. Die fünf Jahre dienten Rechnungslegungszwecken nach den Grundsätzen der Bundeshaushaltsordnung, und die sieben Jahre beruhten auf den Aufbewahrungsfristen nach dem Einkommenssteuergesetz. Für die Inanspruchnahme von Dienst-, Geld- und Sachleistungen nach dem SGB II bestehe eine Speicherfrist von zehn Jahren nach Beendigung des Falls. Ein Fall sei beendet, wenn die Hilfebedürftigkeit weggefallen sei oder aus anderen Gründen kein Anspruch mehr auf Leistungen bestehe. Die Frist beruhe auf der Möglichkeit der Rückforderung von Leistungen bei zu Unrecht gewährten Leistungen. Für bei dem Ärztlichen Dienst oder der Berufspsychologischem Service der Bundesagentur für Arbeit angefallene Daten gelte eine Löschfrist nach der jeweiligen Berufsordnung von zehn Jahren. Für titulierte Forderungen der BA, die noch nicht vollständig beglichen seien, bestehe eine Speicherfrist von 30 Jahren. Betroffene hätten unter bestimmten Voraussetzungen das Recht auf Berichtigung, Vervollständigung und Löschung der Daten sowie zur Beschwerde bei der Aufsichtsbehörde. Daten könnten auch bei anderen Stellen oder Personen erhoben werden, wie. z.B. bei anderen Sozialleistungsträgern, Arbeitsgebern, Maßnahmeträgern, Vertragsärzten und öffentlichen Quellen, wie dem Internet, dem Melderegister, dem Handelsregister und den Grundbuchämtern. Eine automatische Entscheidungsfindung finde insoweit statt, als im Rahmen des Vermittlungsprozesses die Arbeitsplatzanforderungen mit den Kompetenzen des Bewerbers automatisiert abgeglichen würden. Dabei würden Kriterien wie Arbeitszeit, Ausübungsorte, Berufe, Sprachkenntnisse, Schulnoten, Berufserfahrung usw. herangezogen. Hinsichtlich der von dem Kläger beantragten Kopie wies der Beklagte darauf hin, dass es aufgrund fehlender Verschlüsselungsmöglichkeiten nicht möglich sei, die Daten per Mail an den Kläger zu senden. Der Großteil der Daten liege in Papierform vor. Der Kläger erhalte eine unentgeltliche Kopie aller Aktenbände. Das Datenmaterial (Kopien der Leistungsakten Band I bis VI inklusive Hilfsakten, Kopien der gespeicherten Daten in der E-Akte, Kopien aus dem Fachverfahren VerBIS, Auflistung aller an den Kläger versandten Bescheide, Auszug aus dem Fachverfahren SAP/ERP zur Auflistung der Erstattungsbeträge) werde zusammengestellt und dann gesondert per Boten zugestellt. Eine Verarbeitung der personenbezogenen Daten des Klägers in Drittakten sei dem Beklagten nicht bekannt. Aus der Auflistung der Erstattungsbeträge sei auch der Erstattungszeitraum zu entnehmen. Rechtsgrundlage sei § 104 SGB X. Die Angabe der beteiligten Stelle sei systembedingt nicht abrufbar.
Mit Schreiben vom 02.03.2020 bat der Beklagte den Kläger um Terminvereinbarung zur Entgegennahme des Datenbestandes. Der Bote habe den Kläger an mehreren, aufeinanderfolgenden Tage nicht zu Hause antreffen können. Alternativ bestehe die Möglichkeit, die Daten (2x2 Kartons) persönlich beim Beklagten abzuholen. Der Kläger erwiderte mit Schreiben vom 04.03.2020, auf die Einhaltung der digitalen Form zu bestehen. Das Material könne auf einem Datenträger zur Verfügung gestellt werden. Mit Schreiben vom 12.03.2020 teilte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit dem Kläger mit, dass der Beklagte erfolglos versucht habe, dem Kläger per Botendienst die Unterlagen zukommen zu lassen. Der Kläger erklärte dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mit Schreiben vom 18.03.2020, dass er die gewünschte Auskunft nicht in digitaler Form erhalten habe. Sein Anliegen sei deshalb nicht erledigt. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit antwortete dem Kläger mit Schreiben vom 30.03.2020, dass der Beklagte verpflichtet sei, die Informationstechnik der Bundesagentur für Arbeit zu nutzen. Die zur Verfügung gestellte Technik sei derzeit nicht in der Lage, eine verschlüsselte Kommunikation mit den betroffenen Personen auf einfachem Wege vorzunehmen. Eine Extraktion von Datensätzen auf einen Datenträger sei aus Sicherheitsgründen technisch ausgeschlossen. De facto könnten die Jobcenter keine rechtskonforme Auskunft erteilen. Er empfehle, die Auskunft in Papierform entgegenzunehmen. Der Beklagte meldete sich mit Schreiben vom 31.03.2020 beim Kläger und bot die Möglichkeit der Erfüllung des Auskunftsanspruchs an, wieder in Papierform. Der Datenbestand könne an ihn zugestellt oder vor Ort abgeholt werden. Der Kläger könne auch vor Ort Einsicht in die Akten nehmen. Mit Schreiben vom 07.04.2020 bat der Kläger um Zustellung per Boten und rechtzeitige Terminvereinbarung. Am 17.08.2020 erfolgte die Übergabe der Kopien.
Am 02.09.2021 hat der Kläger beim Sozialgericht Düsseldorf Klage erhoben.
Er begehre Schadensersatz i.H.v. 5.000 € vom Beklagten aus Art. 82 Abs. 1 DSGVO, weil es seit Juli 2019 zu einer erheblichen Verzögerung des Auskunftsanspruchs gekommen sei. Diese Anforderungen seien nicht nur zeitlich, sondern auch inhaltlich verletzt worden. Dadurch, dass es so lange gedauert habe, bis er die angeforderte Auskunft erhalten habe, habe er einen „gewissen Kontrollverlust“ über seine Daten gehabt. Das Verfahren sei für ihn wichtig für andere Verfahren. Der Kontrollverlust über seine Daten stelle einen immateriellen Schaden dar. Es gehe ihm darum, den Vorschriften der DSGVO Wirksamkeit zu verleihen, so dass dem immateriellen Schadensersatzanspruch auch eine Abschreckungsfunktion beigemessen werden müsse. Er habe eine Auskunft in digitaler Form verlangt. Dies sei nicht erfolgt und kein rechtskonformer Zustand.
Der Kläger hat beantragt,
den Beklagten zu verurteilten, an ihn 5.000 € nebst Zinsen in Höhe von 5 % über dem Basiszinssatz seit Zustellung der Klage zu zahlen.
Der Beklagte hat beantragt,
die Klage abzuweisen.
Es liege kein immaterieller Schaden vor. Allein der Verstoß gegen datenschutzrechtliche Vorschriften führe nicht zu einem Schadensersatzanspruch. Erforderlich sei ein dadurch entstandener Schaden, wie z.B. eine tatsächliche Persönlichkeitsrechtsverletzung durch eine unrechtmäßige Zugänglichmachung von Daten (unter Verweis auf LG Hamburg, Urteil vom 04.09.2020 – 324 S 9/29 –). Der Kläger habe in keiner Weise dargelegt oder bewiesen, inwiefern überhaupt ein Schaden entstanden sei. Der Schaden liege weder in der Verzögerung noch in der fehlenden digitalen Form. Der Kläger habe eine vollständige Kopie seiner Akten erhalten. Diese sei deutlich umfangreicher, als jede elektronische Auskunft je hätte sein können. Der Anspruch sei insofern sogar „übererfüllt“ worden. Ein Zugang der E-Mail des Klägers vom 16.07.2019 sei nicht nachgewiesen.
Das Sozialgericht Düsseldorf hat die Klage mit Urteil vom 08.06.2022 abgewiesen und den Streitwert auf 5.000 € festgesetzt. Die Klage sei zulässig, aber unbegründet. Der Kläger habe keinen Anspruch auf immateriellen Schadensersatz i.H.v. 5.000 €, weil die Voraussetzungen von Art. 82 DSGVO nicht vorlägen. Es liege bereits keine Pflichtverletzung vor, weil das Auskunftsrecht des Klägers gemäß § 35 Abs. 2 SGB I i.V.m. § 83 SGB X nicht verletzt worden sei. Der Kläger habe jedenfalls kein den gesetzlichen Vorgaben entsprechendes Auskunftsersuchen gestellt. Gemäß § 83 Abs. 1 Nr. 2 a SGB X bestehe das Recht auf Auskunft der betroffenen Person nicht, wenn Sozialdaten nur deshalb gespeichert würden, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürften. Dies sei der Fall, denn der Beklagte benötige die noch gespeicherten Daten einerseits zur Führung der noch zwischen den Beteiligten anhängigen Rechtsstreitigkeiten und andererseits zur Geltendmachung etwaiger Rücknahmen gemäß § 45 Abs. 3 Satz 3 SGB X. Gemäß § 83 Abs. 2 SGB X solle die betroffene Person außerdem in dem Antrag auf Auskunft die Art der Sozialdaten, über die Auskunft erteilt werden solle, näher bezeichnen. Das Auskunftsverlangen des Klägers entspreche nicht diesen Anforderungen. Es gehe ihm nicht um die Bekanntgabe bestimmter Sozialdaten, sondern um die Auskunft zu allen Sozialdaten. Zudem seien vorliegend die Sozialdaten des Klägers bei dem Beklagten überwiegend nicht automatisiert erfasst, so dass der Kläger gemäß § 83 Abs. 2 Satz 2 SGB X Angaben zum Auffinden der Daten hätte machen müssen. Auch dadurch, dass der Beklagte die Auskunft nicht in einem gängigen, elektronischen Format erteilt habe, erwachse dem Kläger kein Schadensersatzanspruch. Denn § 83 Abs. 2 Satz 3 SGB X und Artikel 15 Abs. 3 Satz 4 DSGVO machten deutlich, dass die Auskunft nur dann in einem elektronischen Format erfolgen müsse, wenn die Dateien bereits automatisiert seien. Dies sei nicht der Fall. Der Auskunftsanspruch sei insofern auf die technisch zur Verfügung stehenden Möglichkeiten beschränkt. Darüber hinaus fehle es an einem einen Schadensersatzanspruch begründenden Schaden. Der Kläger habe einen Kontrollverlust über seine Daten nicht nachvollziehbar begründet. Der Kläger sei von Anfang an bei der Erhebung von Sozialdaten zwecks Prüfung des Leitungsanspruchs nach dem SGB II durch den Beklagten beteiligt gewesen und wisse daher, welche Daten dem Beklagten zur Verfügung stünden. Es lägen keine Anhaltspunkte vor, dass der Beklagte die von dem Kläger erhobenen Sozialdaten außerhalb der gesetzlichen Vorschriften des Sozialgesetzbuches in Verbindung mit der DSGVO eingesetzt habe.
Der Kläger hat am 21.07.2022 Berufung gegen das Urteil vom 08.06.2022, diesem zugestellt am 05.07.2022, eingelegt.
Er habe einen den gesetzlichen Anforderungen entsprechenden Antrag gestellt. § 83 Abs. 2 Satz 1 SGB X begrenze seinen Anspruch nicht. Er habe hinreichend konkrete Angaben zu den Sozialdaten gemacht. Im Übrigen handele es sich lediglich um eine Soll-Vorschrift, die lediglich Beschleunigungs- und nicht Ausschlussfunktion habe (unter Verweis auf BSG, Urteil vom 13.12.2012 – B 1 KR 13/12 R – juris, Rn. 9). Unabhängig davon hätte der Beklagte sich dann auf die fehlende Konkretisierung berufen und ihn zur Nachbesserung anhalten müssen. Diese Anforderung sei darüber hinaus nicht mit Art. 15 DSGVO in Einklang zu bringen. Auch § 83 Abs. 2 Satz 2 SGB X stehe seinem Anspruch nicht entgegen, denn seine Daten seien bei dem Beklagten entweder automatisiert verarbeitet oder in nicht automatisierten Dateisystemen gespeichert worden, so dass die tatbestandlichen Voraussetzungen nicht erfüllt seien. Er habe auch hinreichend konkrete Angaben gemacht. Er habe seinen Namen und seine Kundennummer angegeben. Es dürften keine überhöhten Anforderungen gestellt werden, weil der Betroffene gar nicht wissen könne, welche jemals von ihm zur Verfügung gestellten Daten überhaupt noch gespeichert seien. Aus Laiensicht sei es überhaupt erst nach Auskunftserteilung möglich, die betroffenen Daten näher zu bezeichnen. Auch § 83 Abs. 2 Satz 3 SGB X stehe seinem Anspruch nicht entgegen. Der Beklagte könne die Form des Auskunftsverlangens nicht bestimmen, denn Art. 15 und 12 Abs. 3 DSGVO enthielten eine abweichende Regelung hinsichtlich der elektronischen Form. Er habe seinen Antrag per E-Mail und damit elektronisch gestellt. Dem Anspruch stehe auch nicht § 83 Abs. 2 a SGB X entgegen. Solche Aufbewahrungsfristen seien nicht ersichtlich. Selbst wenn man diese bejahen würde, müsste zusätzlich auch die Auskunftserteilung unverhältnismäßig aufwendig sein. Dies sei nicht erkennbar. Auch sei fraglich, ob Art. 15 DSGVO aufgrund seiner Bedeutung durch den Verweis auf Aufbewahrungsfristen überhaupt absolut verneint werden dürfe. Der Beklagte habe die Frist zur Auskunftserteilung verstreichen lassen. Der Antrag sei am 16.07.2019 zugestellt worden. Ihm sei hierdurch ein immaterieller Schaden i.H.v. 5.000 € entstanden. Er sei im Ungewissen über die Verarbeitung seiner personenbezogenen Daten gehalten worden, und ihm sei die Prüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht worden. Die Verzögerung wiege besonders schwer, weil es sich um besonders sensible Daten handele. Er habe keine zeitgerechte Kenntnis erlangt, und insofern sei ein Kontrollverlust eingetreten (unter Verweis auf LAG Niedersachen, Urteil vom 22.10.2021 – 16 Sa 761/20 – juris, Rn. 229). Solche Nachteile seien vom Schadensbegriff des Art. 82 DSGVO umfasst, denn dieser solle auch eine Abschreckungswirkung haben, um der DSGVO zum Durchbruch zu verhelfen (a.a.O. Rn. 231).
Der Kläger beantragt,
das Urteil des Sozialgerichts Düsseldorf vom 08.06.2022 zu ändern und den Beklagten zu verurteilen, an ihn 5.000 € nebst Zinsen in Höhe von 5 %-Punkten über dem Basiszinssatz ab Rechtshängigkeit zu zahlen.
Der Beklagte beantragt,
die Berufung zurückzuweisen.
Das Auskunftsverlangen des Klägers sei pauschal auf den vollständigen Inhalt der Akten gerichtet gewesen. Dies sei ein unzulässiger Globalantrag (unter Verweis auf LSG NRW, Urteil vom 24.03.2021 – L 12 AS 2102/19 – juris, Rn. 85). Auch könne er sich auf den Ausschlussgrund des § 83 Abs. 1 Nr. 2 a SGB X berufen, weil die Daten in der Regel zehn Jahre gespeichert werden müssten. Der Kläger eröffne regelmäßig neue Klageverfahren auch zu älteren Zeitraumen. Das Verhalten des Klägers führe dazu, dass die Daten nicht gelöscht werden könnten. Es sei auch kein immaterieller Schaden entstanden. Der Kläger befinde sich seit 2014 nicht mehr im Leistungsbezug. Inwieweit ein Schaden durch eine Verzögerung eintreten könnte, obwohl der Kläger erst fünf Jahre nach Ende des Leistungsbezugs überhaupt auf die Idee gekommen sei, den Antrag zu stellen, könne nicht nachvollzogen werden. Es gehe dem Kläger lediglich um eine finanzielle Bereicherung. Zudem sei eine fehlerhafte Auskunftserteilung bereits keine fehlerhafte Datenverarbeitung im Sinne des Art. 82 DSGVO. Die Anforderungen an die Geltendmachung eines immateriellen Schadens seien nicht erfüllt.
Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Gerichtsakte und der Verwaltungsakte des Beklagten Bezug genommen.
Entscheidungsgründe
Die Berufung ist zulässig (I.), aber nicht begründet (II.).
I. Die Berufung des Klägers gegen das Urteil des Sozialgerichts vom 08.06.2022 ist zulässig.
1. Sie ist gemäß § 144 Abs. 1 Satz 1 Nr. 1 SGG statthaft, denn der Wert des Beschwerdegegenstands übersteigt 750 €. Der Kläger begehrt Schadensersatz i.H.v. 5.000 €. Der Kläger hat die Berufung fristgerecht am 21.07.2022 und damit innerhalb eines Monat nach Zustellung des Urteils am 05.07.2022 eingelegt, § 151 Abs. 1 SGG.
2. Für Schadenersatzansprüche nach der DSGVO wegen datenschutzrechtlicher Verstöße im Rahmen eines der Sozialgerichtsbarkeit zugewiesenen Rechtsverhältnisses ist der Sozialrechtsweg gemäß § 51 Abs. 1 Nr. 10 SGG i.V.m. § 81b Abs. 1 SGB X eröffnet (vgl. BSG, Beschluss vom 06.03.2023 – B 1 SF 1/22 R – juris, Rn. 6). Die Gerichte der Sozialgerichtsbarkeit entscheiden gemäß § 51 Abs. 1 Nr. 10 SGG über öffentlich-rechtliche Streitigkeiten, die durch Gesetz diesem Rechtsweg zugewiesen sind. Bei dem von dem Kläger gemäß Art. 82 Abs. 1 DSGVO geltend gemachten Schadensersatzanspruch handelt es sich um eine öffentlich-rechtliche Streitigkeit i.S.d. § 51 Abs. 1 SGG. Eine Streitigkeit ist öffentlich-rechtlich, wenn der vorgetragene Lebenssachverhalt nach Normen des öffentlichen Rechts zu beurteilen ist. Maßgeblicher Anknüpfungspunkt ist die Natur des im Sachvortrag dargestellten Rechtsverhältnisses, aus dem der Klageanspruch hergeleitet wird. Entscheidend ist, ob der zur Klagebegründung vorgetragene Sachverhalt für die aus ihm abgeleitete Rechtsfolge von Rechtssätzen des öffentlichen Rechts geprägt ist. Es kommt darauf an, ob die Umstände der Datenverarbeitung bei dem Beklagten öffentlich-rechtlich geprägt sind (vgl. BSG, Beschluss vom 06.03.2023 – B 1 SF 1/22 R – juris, Rn. 11 m.w.N). Die hier in Streit stehende Datenverarbeitung betrifft Vorschriften des SGB II. Der Beklagte hat während des Leistungsbezugs des Klägers über diesen unter anderem Daten erhoben und gespeichert. Die Erhebung und Speicherung dieser Daten, die für die Durchführung der Grundsicherung, vor allem die Gewährung von Leistungen an die betroffene Person, erforderlich sind, ist in § 51b Abs. 1, Abs. 3 Nr. 1 SGB II i.V.m. der Verordnung zur Erhebung der Daten nach § 51b des SGB II vom 12.08.2010 (BGBl. I S. 1150) geregelt. Bei diesen Normen handelt es sich um Rechtsnormen des öffentlichen Rechts, zu denen alle Rechtssätze gehören, nach denen ausschließlich Träger hoheitlicher Gewalt als Zuordnungssubjekte berechtigt oder verpflichtet werden. Nach § 81b Abs. 1 SGB X ist für Klagen der betroffenen Personen gegen einen Verantwortlichen oder einen Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person bei der Verarbeitung von Sozialdaten im Zusammenhang mit einer Angelegenheit nach § 51 Abs. 1 und 2 SGG der Rechtsweg zu den Gerichten der Sozialgerichtsbarkeit eröffnet. Der Kläger ist eine natürliche, jedenfalls anhand seines Namens identifizierte (Art. 4 Nr. 1 DSGVO) und damit betroffene Person im Sinne dieser Vorschrift. Der Beklagte ist als Behörde und Leistungsträger der Grundsicherung für Arbeitssuchende nach § 67 Abs. 1, Abs. 4 Satz 1 SGB X i.V.m. § 12 Satz 1 i.V.m. § 19a SGB I Verantwortlicher (Art. 4 Nr. 7 DSGVO) im Sinne dieser Vorschrift. Gegenstand der Klage ist ein Verstoß gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte. Der hier von dem Kläger geltend gemachte Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO ist ein Recht der betroffenen Person aus der DSGVO. Sozialdaten sind nach § 67 Abs. 2 Satz 1 SGB X personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO, die von einer in § 35 SGB I genannten Stelle im Hinblick auf die Aufgaben nach diesem Gesetzbuch verarbeitet werden. Zu den Sozialleistungsträgern, die personenbezogene Daten zur sozialrechtlichen Aufgabenerfüllung verarbeiten, gehören Leistungsträger i.S.d. § 12 SGB I und mithin der Beklagte als Leistungsträger der Grundsicherung für Arbeitssuchende gemäß § 19a SGB I. Gesetzliche Aufgabe ist jede Aufgabe, die sich aus dem Sozialgesetzbuch (SGB I bis XII) ergibt (Westphal in: BeckOK Sozialrecht, 69. Ed. <Stand 01.06.2023>, § 67 SGB X, Rn. 9; Leopold in: BeckOK, SGB X, <Stand: 15.05.2023>, Rn. 108). Zu diesen Aufgaben gehören gemäß § 1 Abs. 3 SGB II Leistungen zur Beratung, Beendigung oder Verringerung der Hilfebedürftigkeit insbesondere durch Eingliederung in Ausbildung oder Arbeit sowie die Sicherung des Lebensunterhalts. Die von dem Beklagten beim Kläger erhobenen Daten fallen hierunter. Die Verarbeitung der Sozialdaten des Klägers erfolgte im Anwendungsbereich des SGB II und damit in einer Angelegenheit der Grundsicherung für Arbeitssuchende gemäß § 51 Abs. 1 Nr. 4a SGG. Es bestehen keine auf- oder abdrängenden Sonderzuweisungen (vgl. BSG, Beschluss vom 60.03.2023 – B 1 SF 1/22 R – juris, Rn. 19 ff.).
II. Die Berufung des Klägers ist unbegründet. Das Sozialgericht hat die Klage zu Recht abgewiesen. Der Kläger hat keinen Anspruch auf Zahlung immateriellen Schadensersatzes gegen den Beklagten gemäß Art. 82 DSGVO wegen eines Verstoßes gegen die Auskunftspflicht aus Art. 15 DSGVO.
1. Die DSGVO entfaltet als Verordnung in allen Mitgliedsstaaten unmittelbare Geltung (Art. 288 Abs. 2 AEUV). Der räumliche Anwendungsbereich der DSGVO ist gemäß Art. 3 Abs. 1 DSGVO eröffnet, da der Beklagte seinen Sitz in Deutschland hat. Der Beklagte hat personenbezogene Daten des Klägers jedenfalls gespeichert i.S.d. Art. 2 Abs. 1 DSGVO. Ob die DSGVO im Bereich der Sozialpolitik (vgl. Art. 4 Abs. 2 lit. b AEUV zur geteilten Zuständigkeit) unmittelbar auf die Datenverarbeitung im Bereich des SGB II anwendbar ist (vgl. Art. 2 Abs. 2 a DSGVO) kann offenbleiben, weil sie jedenfalls gemäß § 35 Abs. 2 Satz 2 SGB I entsprechend Anwendung findet (BSG, Urteil vom 14.05.2020 – B 14 AS 7/19 R – juris, Rn. 18).
2. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Gemäß Art. 82 Abs. 2 Satz 1 DSGVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechenden Verarbeitung verursacht wurde.
Diese Voraussetzungen liegen nicht vor. Dabei kann letztlich offen bleiben, ob der Beklagte gegen die Vorschriften der DSGVO verstoßen hat ( a.) und dem Kläger dadurch ein Schaden entstanden ist ( b.), denn es liegt jedenfalls kein einen Schadensersatz begründender Verstoß gegen die DSGVO i.S.d. Art. 82 DSGVO vor ( c.)
a. Der Kläger rügt als Verstoß gegen die Vorschriften der DSGVO eine Verletzung von Art. 15 DSGVO ( aa.). Konkret macht er eine Verzögerung der beantragten Auskunftserteilung ( bb.) und eine Auskunftserteilung in schriftlicher statt in elektronischer Form ( cc.) geltend.
aa. Rechtsgrundlage für den vom Kläger geltend gemachten Auskunftsanspruch ist – ungeachtet seiner näheren Ausgestaltung durch § 83 SGB X (vgl. auch den Wortlaut des Art. 23 Abs. 1 DSGVO, der erlaubt, dass u.a. „die Pflichten und Rechte aus Art. 12 bis 22 DSGVO [...] im Wege von Gesetzgebungsmaßnahmen beschränkt werden") – Art. 15 Abs. 1 Hs. 2 DSGVO. Denn dieser ist unmittelbar anwendbares Recht (siehe oben; ebenso LSG NRW, Urteil vom 24.03.2021 – L 12 AS 2102/19 – juris, Rn. 64).
Gemäß Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende, unter a) bis h) konkretisierte Informationen.
Dem Auskunftsersuchen des Klägers als betroffene Person gegen den Beklagten als verantwortliche Stelle (siehe oben) stand nicht entgegen, dass er seinen Antrag nicht hinreichend konkretisiert, sondern einen unzureichenden „Globalantrag“ gestellt hätte (vgl. hierzu LSG NRW Urteil vom 24.03.2021 – L 12 AS 2102/19 – juris, Rn. 76 ff.). Nach § 83 Abs. 2 Satz 1 SGB X soll die Art der Daten, über die Auskunft erteilt wird, näher bezeichnet werden. Fehlen diese Angaben, muss die Behörde grundsätzlich nachfragen (Biersborn in: Schütze, SGB X, 9. Aufl. 2020, § 83 Rn. 13). Der Kläger hat zwar in seinem Antrag zunächst den kompletten Art. 15 DSGVO zitiert und sodann Kopien sämtlicher Leistungsakten angefordert. Allerdings hat er auch konkrete Nachfragen gestellt, z.B. zu den durchgeführten Erstattungsverfahren und gerichtlichen Verfahren. Der Beklagte hat hinsichtlich des gegebenenfalls unkonkreten Teils keine Nachfragen gestellt. Jedenfalls handelt es sich bei § 83 Abs. 2 Satz 1 SGB X um eine Soll-Vorschrift, die lediglich Beschleunigungs- und nicht Ausschlussfunktion hat (vgl. BSG, Urteil vom 13.12.2012 – B 1 KR 13/12 R – juris, Rn. 19).
Dem Auskunftsersuchen des Klägers stand auch nicht entgegen, dass die Sozialdaten gemäß § 83 Abs. 1 Nr. 2 a SGB X nur deshalb gespeichert wurden, weil sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden durften. Denn eine Einschränkung des Auskunftsrechts ergibt sich hiernach nur, wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordert (Leopold in: Beck-Online Großkommentar, SGB X, <Stand 01.03.2020>, § 83 Rn. 25). Dies hat der Beklagte nicht geltend gemacht. Ausgehend von der Mitteilung des Beklagten vom 04.02.2020, den Antrag nunmehr zu bearbeiten, und seiner Antwort am 13.02.2020 (mithin acht Werktagen) ist dies auch nicht ersichtlich.
bb. Es spricht auch einiges dafür, dass der Beklagte dem Kläger die Auskunft nicht fristgerecht erteilt hat. Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Personen Informationen über die auf Antrag gemäß Art. 15 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags, zur Verfügung.
Der Datenschutzbeauftragte hat das Auskunftsersuchen des Klägers jedenfalls mit Schreiben vom 10.01.2020 an den Beklagten weitergeleitet, das genaue Datum des Zugangs beim Beklagten ist unbekannt. Ausgehend von einer gewöhnlichen Postlaufzeit von drei Tagen und der Auskunftserteilung seitens des Beklagten am 13.02.2020 liegt keine Verzögerung vor.
Dem steht jedenfalls nicht entgegen, dass der Kläger geltend gemacht hat, seinen Antrag am 16.07.2019 per E-Mail gestellt zu haben. Der Beklagte hat angegeben, diese E-Mail nicht erhalten zu haben. Sie befindet sich auch nicht in den Verwaltungsakten. Ein Antrag ist eine einseitige, empfangsbedürftige Willenserklärung, für deren Zugang nach allgemeinen Regeln der Antragstellende die Beweislast trägt. Diesen Beweis hat der Kläger nicht erbracht.
Der Kläger hat jedoch mit zwei per Telefax versandten Schreiben vom 21.08.2019 und 11.09.2019 an sein Auskunftsersuchen erinnert. Er hat auch entsprechende Sendeberichte vorgelegt, auf denen ein „Versandt“-Vermerk vorhanden ist. Auch hier hat der Beklagte angegeben, diese Schreiben nicht erhalten zu haben. Sie befinden sich auch nicht in den Verwaltungsakten. Auf Nachfrage des Senats hat der Beklagte angegeben, dass Empfangsjournale des Faxgerätes nach sechs Monaten gelöscht würden und diese nicht mehr vorlägen. Da der „Ok-Vermerk“ in einem Sendeprotokoll ein Indiz für den Zugang des Telefax begründet, hätte der Beklagte sich hier nicht auf ein Einfaches Bestreiten des Zugangs beschränken dürfen (vgl. BGH, Urteil vom 19.02.2014 – IV ZR 163/13 – juris, Rn. 27 ff.; Einsele in: MüKo, § 130 BGB, 9. Aufl. 2021, Rn. 47). Legt man einen Zugang des Faxes vom 21.08.2019 zugrunde, liegt eine erhebliche Verzögerung von gut einem halben Jahr vor.
cc. Der Beklagte hat hingegen nicht gegen die DSGVO verstoßen, indem er seine Auskunft nicht in einem elektronischen Format erteilt hat.
Nach Art. 15 Abs. 3 Satz 3 DSGVO sind zwar die Informationen – hier die Datenkopie – elektronisch zur Verfügung zu stellen, wenn die Person den Antrag elektronisch stellt. Nach Art. 12 Abs. 3 DSGVO besteht die Pflicht, die in Art. 15 genannten Informationen, einschließlich der in Art. 15 Abs.1 lit. a bis h genannten Informationen – hier die Auskunftserteilung –, auf elektronischem Wege zu übermitteln, wenn die betroffene Person den Antrag elektronisch stellt (EuGH, Urteil vom 04.05.2023 – C-487/21 – F.F. gegen Österreichische Datenschutzbehörde, Rn. 52). Der Beklagte hat sowohl die eigentliche Auskunftserteilung als auch die Datenkopie in Schriftform erteilt. Das Schreiben des Datenschutzbeauftragten vom 10.01.2020, mit dem dieser das Auskunftsersuchen des Klägers weitergeleitet hatte, war auch schriftlich. Einen Zugang des Auskunftsersuchens in einem elektronischen Format (hier: die E-Mail) konnte der Kläger nicht nachweisen. Unterstellt man den Zugang des per Telefax übersandten Dokuments, wäre dieser Antrag jedenfalls nicht elektronisch eingegangen (vgl. zur elektronischen Form: BSG, Beschluss vom 16.02.2022 – B 5 R 198/21 B – juris, Rn. 5).
b. Der Kläger macht geltend, ihm sei wegen der Verletzung seines Anspruchs auf Auskunft aus Art. 15 DSGVO ein immaterieller Schaden entstanden ( aa.). Dieser liegt jedoch weder in der geltend gemachten Verzögerung der Auskunftserteilung ( bb.) noch in der Auskunftserteilung in schriftlicher statt in elektronischer Form ( cc.)
aa. Bloße Verstöße gegen die DSGVO reichen nicht aus, um einen Schadensersatz nach Art. 82 Abs. 1 DSGVO zu begründen, denn ein Verstoß gegen die DSGVO führt nicht zwangsläufig zu einem Schaden. Der betroffenen Person muss ein Schaden über die Verletzung der DSGVO hinaus entstanden sein. Der Ersatz eines immateriellen Schadens darf zwar nicht davon abhängig gemacht werden, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad der Erheblichkeit erreicht hat. Dies bedeutet allerdings nicht, dass die Person von dem Nachweis befreit wäre, dass die für sie negativen Folgen einen immateriellen Schaden darstellen (EuGH, Urteil vom 04.05.2023 – C 300/21 – UI gegen Österreichische Post AG). Im Erwägungsgrund Nr. 146 Satz 6 zur DSGVO ist insoweit ausdrücklich von einem "erlittenen Schaden" die Rede. Der Schaden ist daher nicht mit der zugrunde liegenden Verletzung der DSGVO gleichzusetzen (LG Baden-Baden, Urteil vom 09.03.2023 – 3 O 248/22 – juris, Rn. 153; Quaas in: BeckOK Datenschutzrecht, 44. Ed. <Stand: 01.05.2023>, Art. 82 DSGVO, Rn. 23).
bb. Dass dem Kläger durch die Verzögerung der Auskunftserteilung ein immaterieller Schaden entstanden wäre, ist nicht ersichtlich. Der Schaden des Klägers liegt nicht in der Verzögerung des Auskunftsverlangens selbst. Erforderlich ist ein darüberhinausgehender Schaden im Sinne eines faktischen Nachteils in der Lebenswelt des Klägers.
Der Kläger hat erklärt, dass ihm dadurch, dass es so lange gedauert habe, bis er die angeforderte Auskunft erhalten habe, ein gewisser Kontrollverlust über seine Daten in diesem Bereich entstanden sei (unter Verweis auf LAG Niedersachen, Urteil vom 22.10.2021 – 16 Sa 761/20, Rn. 229). Das Verfahren sei für ihn wichtig für weitere Verfahren. Der Kontrollverlust über seine Daten stelle einen immateriellen Schaden dar. Er sei im Ungewissen über die Verarbeitung seiner personenbezogenen Daten gehalten worden, und ihm sei die Prüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht worden. Die Verzögerung wiege besonders schwer, weil es sich um besonders sensible Daten handele. Es gehe ihm darum, den Vorschriften der DSGVO Wirksamkeit zu verleihen, so dass dem immateriellen Schadensersatzanspruch auch eine Abschreckungsfunktion beigemessen werden müsse. Mit diesem Vortrag hat der Kläger bereits keinen konkreten immateriellen Schaden dargelegt. Der bloße abstrakte Kontrollverlust oder die Ungewissheit über den Verbleib von Daten ist kein Schaden. Das Vorbringen des Klägers lässt jeglichen individuellen Bezug und der sich konkret bei ihm zeigenden Beeinträchtigung vermissen und beschränkt sich auf die Wiedergabe einzelner Erwägungsgründe und auf die formelhafte Wiedergabe von Entscheidungsgründen aus immateriellen Schadensersatz zusprechenden Urteilen. Es handelt sich lediglich um eine Umschreibung des von dem Kläger geltend gemachten Gesetzesverstoßes, der jedoch von dem Schaden zu unterscheiden ist. Der informatorischen Anhörung des Klägers vor Gericht lässt sich nichts Näheres zu einer emotionalen Betroffenheit im Sinne eines „unguten Gefühls“ durch das verzögerte Auskunftsverlangen entnehmen. Dabei ist bereits fraglich, ob hier überhaupt ein Kontrollverlust über Daten eingetreten ist. In den Entscheidungen, in denen ein Schadensersatzanspruch wegen Kontrollverlust über Daten angenommen wurde, ging es darum, dass personenbezogene Daten an Dritte gelangt sind (vgl. OLG Hamm, Urteil vom 20.01.2023 – I-11 U 88/22 – juris, zum Versand von Emailadressen aus einem Impfzentrum an Dritte; LG Lüneburg, Urteil vom 24.01.2023 – 3 O 81/22 – juris, zur Offenbarung von Telefonnummern an Dritte; OLG Celle, Urteil vom 22.09.2022 – 11 U 107/21 – juris, zur Weitergabe von Daten aus Personalakten; OLG Düsseldorf, Urteil vom 28.10.2021 – I-16 U 275/20 – juris, zur Versendung einer Gesundheitskarte an eine falsche Emailadresse), womit eine Bloßstellung der betroffenen Person jeweils naheliegend war. Hier geht es lediglich um die Frage, welche Daten der Beklagte (noch) über den Kläger gespeichert hatte. Diese Kenntnis (im Sinne der Kontrolle über den Verbleib der Daten) hatte der Kläger auch vor seinem etwa fünf Jahren nach Ausscheiden aus dem Leistungsbezug gestellten Auskunftsverlangen nicht, so dass die Verzögerung der Auskunft jedenfalls nicht (kausal) zu dem geltend gemachten Kontrollverlust führen konnte.
Darüber hilft auch nicht hinweg, dass der Kläger den Vorschriften der DSGVO zur Wirksamkeit verhelfen möchte. Zwar hat der EuGH betont, dass der Schadensersatzanspruch eine Abschreckungsfunktion haben soll (EuGH, Urteil vom 04.05.2023 – C-300/21 – UI gegen Österreichische Post AG, Rn. 40; vgl. Becker, Erste Eckpfeiler des EuGH zum immateriellen Schadensersatz nach Art. 82 DSGVO, GRUR 2023, 950). Schadensersatzforderungen sollen abschrecken und weitere Verstöße unattraktiv machen (Bergt in: Kühling/Bucher, DSGVO, 3. Auf. 2020, Art. 82, Rn. 17). Dieser Aspekt wäre jedoch – wenn überhaupt – bei der Höhe der Schadensersatzforderung zu berücksichtigen.
Deshalb kann auch dahinstehen, ob auf Ebene der Schadensprüfung dem Kläger ein Mitverschulden nach § 254 BGB entgegengehalten werden kann (dazu Quaas in: BeckOK Datenschutzrecht, 44. Ed. <Stand: 01.05.2023>, Art. 82 DSGVO, Rn. 10). Denn der Beklagte hat ab dem 13.02.2020 versucht, dem Kläger die Datenkopien und Auskünfte in Papier zukommen zu lassen. Der Kläger hat auf eine elektronische Beantwortung bestanden. Den Kontrollverlust und die Ungewissheit über seine Daten hätte der Kläger jedoch bei frühzeitiger Entgegennahme jedenfalls ab dem 13.02.2020 gänzlich verhindern können.
cc. Dass dem Kläger ein immaterieller Schaden durch die Beantwortung des Auskunftsverlangen im schriftlichen statt im elektronischen Format entstanden ist, ist nicht ersichtlich und wurde auch nicht vorgetragen.
c. Letztlich kann dahinstehen, ob dem Kläger aufgrund der von ihm geltend gemachten Verstöße gegen die DSGVO ein immaterieller Schaden entstanden ist, weil eine (fehlerhafte) Auskunftserteilung i.S.v. Art. 15 DSGVO bereits dem Grunde nach nicht als Anknüpfungspunkt eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO in Betracht kommt.
Nicht jeder Verstoß gegen die DSGVO führt zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO, auch wenn der Wortlaut der Norm insoweit offen formuliert ist. Voraussetzung ist vielmehr, dass der Schaden durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Denn Art. 82 Abs. 2 DSGVO stellt klar, dass gerade die Verarbeitung selbst verordnungswidrig sein muss, weil nur für Schäden gehaftet werden soll, die durch eine nicht der Verordnung entsprechenden Verarbeitung verursacht worden sind, und konkretisiert den Abs. 1 insofern. Dieses Verständnis stützt auch der Erwägungsgrund Nr. 146 Satz 1 der DSGVO, wonach der Verantwortliche Schäden ersetzen sollte, die einer Person aufgrund einer Verarbeitung entstehen, die mit der DSGVO nicht im Einklang stehen. Daher ist der Anwendungsbereich des Schadensersatzanspruchs gemäß Art. 82 Abs. 1 DSGVO nur eröffnet, wenn ein Verstoß durch die Verarbeitung selbst in Betracht kommt, die verordnungswidrig sein muss (so auch aus der aktuelleren Rechtsprechung: LG Baden-Baden, Urteil vom 09.03.2023 – 3 O 248/22 – juris, Rn. 100; LG Münster, Urteil vom 27.02.2023 – 02 O 54/22 – juris, Rn. 41 f.; LG Heilbronn, Urteil vom 03.03.2023 – Bö 1 O 78/22 – juris, Rn. 55 f.; LG Verden, Urteil vom 24.02.2023 – 1 O 205/22 – juris, Rn. 34; LG Memmingen, Urteil vom 16.02.2023 – 24 O 913/22 – juris, Rn. 54; LG Verden, Urteil vom 16.02.2023 – 2 O 51/22 – juris, Rn. 30 ff.; LG Mosbach, Urteil vom 06.02.2023 – 2 O 113/22 – juris, Rn. 47; LG Görlitz, Urteil vom 27.01. 2023 – 1 O 101/22 – juris, Rn. 48; LG Frankfurt, Urteil vom 27.01.2023 – 2-27 O 158/22 – juris, Rn. 48; andere Ansicht, wonach nach dem Wortlaut der Norm ein Verstoß gegen die DSGVO selbst ausreicht: Quaas in: BeckOK, Datenschutzrecht, 44. Ed. <Stand: 01.05.2023>, Art. 82 DSGVO, Rn. 14).
Der Kläger rügt eine Verletzung seines Auskunftsanspruchs nach Art. 15 DSGVO, weil die Auskunft zum einen zu spät und zum anderen nicht in elektronischer Form erfolgt sei. Diese Verletzungen sind vom Anwendungsbereich des Art. 82 Abs. 1 DSGVO nicht erfasst. Denn erforderlich wäre eine Datenverarbeitung entgegen den Vorgaben der DSGVO. Gemäß Art. 4 Nr. 2 DSGVO ist eine Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die Information aufgrund der Anfrage des Klägers über die Verarbeitung von personenbezogenen Daten ist keine Verarbeitung von personenbezogenen Daten i.S.d. Art. 4 Nr. 2 DSGVO. Denn der Auskunftspflicht des Beklagten fehlt es an den verarbeitungsspezifischen Zusammenhang zu den personenbezogenen Daten; die Begründung derartigen Pflichten setzt ihrerseits bereits zwingend einen Verarbeitungsvorgang voraus und begründet ihn nicht erst (andere Ansicht, wonach auch die Auskunft in den Anwendungsbereich fällt: LG Aachen, Urteil vom 10.02.2023 – 8 O 177/22 – juris, Rn. 55).
Die Nichterfüllung bzw. hier lediglich die nicht rechtzeitige und nicht formgerechte Erfüllung des Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO ist für sich genommen nicht gleichbedeutend mit einer verordnungswidrigen „Verarbeitung“. Die bloße Verletzung von Informationsrechten nach Art. 15 DSGVO führt nicht dazu, dass eine Datenverarbeitung, infolge derer das Auskunftsrechts entstanden ist, selbst verordnungswidrig wird. Zwar kann auch durch ein Auskunftsverlangen selbst wieder eine unrechtmäßige Datenverarbeitung erfolgen; dies macht der Kläger jedoch gar nicht geltend. Vielmehr geht der Kläger von einem Schadensersatzanspruch wegen verspäteter und nicht formgerechter Erteilung der Auskunft aus.
III. Die Kostenentscheidung folgt aus § 193 SGG. Das Verfahren ist gerichtskostenfrei i.S.d. § 183 SGG. § 197a Abs. 1 GKG ist nicht anwendbar. Der Kläger war in der Vergangenheit Empfänger von Leistungen nach dem SGB II. Er klagt auch in seiner Eigenschaft als Leistungsempfänger, weil er eine Verletzung seines Auskunftsverlangens betreffend seiner während des Leistungsbezugs verarbeiteten Daten geltend macht. Für Klagen nach §§ 81a, 81b SGB X ist von der Privilegierung auszugehen, wegen des dort vorausgesetzten Zusammenhangs der Verarbeitung von Sozialdaten mit einer Angelegenheit nach § 51 Abs. 1 und 2 SGG (Schmidt in: Meyer-Ladewig/Keller/Leitherer/Schmidt, SGG, 13. Aufl. 2020, § 183 Rn. 10). Für Schadensersatzanspruche aufgrund Verletzung von Auskunftsansprüchen nach der DSGVO kann deshalb nichts Anderes gelten. In Anbetracht der Gerichtskostenfreiheit fehlt es auch an einer Grundlage für den Streitwertbeschluss des Sozialgerichts.
IV. Der Senat hat die Revision gemäß § 160 SGG zugelassen, weil er der Rechtssache grundsätzliche Bedeutung beimisst.