13R3/24t – OLG Wien Entscheidung

Das Oberlandesgericht Wien hat als Rekurs- und Berufungsgericht durch den Senatspräsidenten Mag. Häckel als Vorsitzenden sowie Mag. Wessely und Mag. Nigl, LL.M., in der Rechtssache der klagenden Partei A* , **, vertreten durch Dr. Philipp Springer, Rechtsanwalt in Wien, wider die beklagte Partei B* GmbH , **, vertreten durch Schönherr Rechtsanwälte GmbH in Wien, wegen zuletzt EUR 400,-sA (§ 29 Abs 2 DSG), über den Rekurs (Rekursinteresse: EUR 200, sA) und die Berufung (Berufungsinteresse: EUR 200, sA) der klagenden Partei gegen den Beschluss und das Urteil des Landesgerichtes für Zivilrechtssachen Wien vom 22.11.2023, **-18, in nichtöffentlicher Sitzung

I. den

B e s c h l u s s

gefasst:

Dem Rekurs wird Folge gegeben und der angefochtene Beschluss dahin abgeändert, dass er lautet:

„Die Einrede der Unzulässigkeit des Rechtsweges in Ansehung von EUR 200, sA wird verworfen .“

Dem Erstgericht wird in diesem Umfang die Fortsetzung des Verfahrens unter Abstandnahme vom herangezogenen Zurückweisungsgrund aufgetragen.

Der Revisionsrekurs ist jedenfalls unzulässig.

II. zu Recht erkannt:

Der Berufung wird in Ansehung von EUR 200, sA nicht Folge gegeben.

Die klagende Partei ist schuldig, der beklagten Partei die mit EUR 211,63 bestimmten Kosten der Berufungsbeantwortung (darin enthalten EUR 35,27 USt) binnen 14 Tagen zu ersetzen.

Die Revision ist jedenfalls unzulässig.

Begründung

und

Entscheidungsgründe

Der Kläger ist eine natürliche Person mit Wohnsitz in **. Sein Name (Vor- und Familiennamen), Geburtsdatum und aktueller Hauptwohnsitz sind im Zentralen Melderegister erfasst (./E).

Die beklagte Partei ist eine beliehene Gesellschaft des Privatrechts, die mit der Einbringung der Rundfunkgebühren nach dem Rundfunkgebührengesetz (RGG) betraut ist. Sie erfasst zu diesem Zweck den Namen, das Geschlecht, die Adresse und das Geburtsdatum von in Österreich gemeldeten Rundfunkteilnehmern. Von den unterschiedlichen Meldebehörden in Österreich erhält sie auf ihr Verlangen die hierfür erforderlichen Daten in unterschiedlichen Datenformaten. Auch vom Kläger verarbeitete die beklagte Partei folgende personenbezogenen Daten: Vorname, Nachname, Geburtsdatum und Adresse (./AB). [...] Im Mai 2020 bot ein „Hacker“ die Namens- und Adressdaten österreichischer Personen im Internet zum Verkauf an (im Folgenden: Datensicherheitsvorfall ).

Am 27.5.2020 informierte die beklagte Partei die Öffentlichkeit über den Datensicherheitsvorfall per APA-Presseaussendung (./U). Darin hielt sie unter anderem fest: „ Wie heute bekannt wurde, dürfte es zu einem Diebstahl von größeren Mengen an Daten gekommen sei, wobei nicht ausgeschlossen werden kann, dass diese Daten aus dem Einflussbereich der B* stammen. “ (./U).

Am 29.5.2020 erstattete die beklagte Partei eine auf Art 33 DSGVO gestützte Meldung an die Datenschutzbehörde […].

In diesem Zusammenhang berichteten auch nationale Medien, wie etwa „derStandard“ am 27.5.2020, über den Vorfall (./S). Eine individuelle Verständigung einzelner Betroffener durch die beklagte Partei erfolgte zum damaligen Zeitpunkt nicht.

Tatsächlich wurden auch die Daten (Name, Adresse, Geburtsdatum) des Klägers von einem „Hacker“ im Darknet zum Verkauf angeboten. Es ist nicht feststellbar, wie der Hacker an diese Daten gelangte. Der beklagten Partei sowie auch dem Kläger selbst war bis zum Schluss der mündlichen Verhandlung nicht bekannt, dass entsprechende Daten des Klägers tatsächlich betroffen waren.

[...]

Der Kläger erfuhr vom Datensicherheitsvorfall erstmals Anfang Jänner 2023 aus Medienberichten und ärgerte sich darüber, weil er der Ansicht war, dass die beklagte Partei fahrlässig Daten ins Internet gestellt habe. Sein Ärger war allgemeiner Natur und beeinträchtigte seinen Alltag nicht. Der Ärger vergrößerte sich in der Folge auch nicht aufgrund eigener Recherchen über vermeintliche Datenschutzvergehen der beklagten Partei. Der Kläger erlitt auch keine Sorgen, keinen Zorn oder sonstigen Beeinträchtigungen. Vielmehr führte der Kläger sein Leben wie bis dahin uneingeschränkt weiter und gab weiterhin seine Daten, wie seinen Namen, seine Adresse oder seine Bankdaten über diverse Internetseiten Dritten freiwillig an, kaufte online ein, buchte online Reisen, bestellte online Essen und nutzte regelmäßig Messenger-Dienste wie WhatsApp und Signal. Bei all diesen Online-Aktivitäten und der damit einhergehenden Angabe von Daten hatte der Kläger keine Bedenken.

Am 4.3.2023 richtete der Kläger an die beklagte Partei einen auf Art 15 DSGVO gestützten Auskunftsantrag (./V). Die beklagte Partei erhielt zum damaligen Zeitpunkt eine sehr große Anzahl an Anfragen und war deshalb nicht in der Lage, sämtliche Anfragen in kurzer Zeit zu beantworten. Sie bestätigte dem Kläger noch am selben Tag den Empfang seines Auskunftsantrags per E-Mail und teilte ihm dabei mit, dass es aufgrund vieler Anfragen zu Verzögerungen bei der Beantwortung seines Anliegens kommen kann (./X). Am 12.4.2023 brachte der Kläger über seinen anwaltlichen Vertreter eine Beschwerde bei der Datenschutzbehörde (DSB) ein, mit welcher er die Feststellung begehrte, die beklagte Partei habe dadurch, dass sie den Auskunftsantrag des Klägers nicht beantwortet habe, dessen Recht gemäß Art 15 DSGVO verletzt (./Y). Für die mit der Einbringung der Beschwerde erfolgten Leistungen, für die der Klagsvertreter einen Aufwand von 40 Minuten verzeichnete, verrechnete dieser dem Kläger am 12.4.2023 brutto EUR 200,- (./AC), was der Kläger auch bezahlte. Die Beklagte übermittelte dem Kläger ein mit 24.5.2023 datiertes Schreiben zur Erteilung der Auskunft nach Art 15 DSGVO (./AB). Es ist nicht feststellbar, dass die darin erteilte Auskunft der Beklagten wahrheitswidrig oder unvollständig erfolgten.

Es ist weiters nicht feststellbar, dass der Kläger erhebliche Zeit und Mühe aufwenden musste, um den behaupteten Rechtsverletzungen durch die beklagte Partei ein Ende zu setzen und aufgrund von eigenen Recherchen Kosten oder sonstige Aufwände, etwa für Anträge bei Behörden, hatte. [...]

Der Kläger begehrt mit seiner Klage zuletzt, die Zahlung von EUR 200,- an materiellem Schadenersatz für Anwaltshonorar sowie von EUR 200,- an immateriellem Schadenersatz. Dazu brachte er - soweit für das Rechtsmittelverfahren von Relevanz – vor, im Verfahren vor der DSB bestehe unabhängig vom Ausgang des Verfahrens kein Anspruch auf Prozesskostenersatz, sodass der dafür erforderliche Aufwand von EUR 200,- einen materiellen in eventu immateriellen Schaden iSd Art 82 Abs 1 DSGVO darstelle, der von der beklagten Partei rechtswidrig und kausal verursacht worden sei, da diese seinen Auskunftsantrag nicht bis längstens 5.4.2023 beantwortet habe. Der Kläger sei dadurch in seinem Recht auf Auskunft verletzt worden. Der Grundsatz, wonach Kosten des Verwaltungsverfahrens im Zivilrechtsweg nicht begehrt werden könnten, erfahre vielfache Einschränkungen, bspw hinsichtlich der Kosten des vergaberechtlichen Nachprüfungsverfahrens. Wäre es Beschwerdeführern verwehrt, die zweckmäßigen Kosten des Verfahrens vor der DSB zivilrechtlich geltend zu machen, würde man die Opfer von Datenschutzverletzungen verpflichten, einen solchen Schaden selbst endgültig zu tragen. Eine solche Pflicht zur Selbsttragung der Vertretungskosten wäre jedoch ein „finanzieller Verlust“ im Sinne des Erwägungsgrundes 75 der DSGVO. Im Erwägungsgrund 146 werde betont, dass die Betroffenen „einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten“ sollten.

Indem die beklagte Partei den Kläger bis heute nicht vom Datensicherheitsvorfall verständigt habe, habe sie Art 34 DSGVO verletzt. Sie müsse im Zeitpunkt der Presseaussendung gewusst haben, dass vom Vorfall nicht nur „größere Mengen an Daten“ betroffen seien, sondern die Meldedatensätze von sämtlichen Österreichern – einschließlich jener des Klägers – gestohlen worden seien. Der Datensicherheitsvorfall habe ein hohes Risiko für die persönlichen Rechte und Freiheiten des Klägers und der anderen 8,9 Millionen betroffenen Österreicher in sich getragen. Der Kläger habe seit 12.1.2023 komprimiert etwa 240 Stunden über den Vorfall mit negativen Gefühlen wie Zorn und Sorge nachgedacht und gegrübelt. Er habe viele Stunden mit Recherchen und Anfragen an diverse Stellen verbracht, um die von der beklagten Partei rechtswidriger Weise zurückgehaltene Information auf anderem Wege zu beschaffen. Der dem Kläger entstandene immaterielle Schaden erfordere die Verurteilung der beklagten Partei zu einer Schadenersatzzahlung von EUR 200,-.

Die beklagte Parteiwandte – soweit für das Rechtsmittelverfahren von Relevanz - die Unzulässigkeit des Rechtsweges für Kosten des Verwaltungsverfahrens ein und beantragte, die Zurückweisung der Klage in diesem Umfang. Der Zuspruch der Anwaltskosten im Zivilverfahren käme einer Vorverurteilung der beklagten Partei im (noch) anhängigen Verwaltungsverfahren gleich. Aufgrund des § 74 Abs 1 AVG habe der Kläger seine Kosten selbst zu tragen. Die DSGVO sehe keinen Kostenersatz vor. Es gebe keinerlei Grundlage für Kostenersatz. Der Kläger sei durch die Nachricht der beklagten Partei nach dem Einlangen seines Auskunftsersuchens über die mögliche Verzögerung der Bearbeitung seines Auskunftsersuchens samt dem Grund für diese Verzögerung unterrichtet gewesen. Ein allfälliger "Rettungsaufwand" sei nur dann zu ersetzen, wenn er zweckmäßig und angemessen sei. Im Verfahren vor der DSB herrsche keine Anwaltspflicht. Die Beschwerde an die DSB sei nicht erforderlich gewesen. Eine Urgenz bei der beklagten Partei hätte ausgereicht. Mit der Beschwerdeerhebung anstelle einer Urgenz habe der Kläger gegen die Schadenminderungspflicht verstoßen.

Die beklagte Partei habe die Betroffenen nicht persönlich informieren können, weil sie nicht gewusst habe, welche Personen tatsächlich betroffen seien. Bei der potenziell großen Anzahl der Betroffenen wäre eine solche Information zudem auch mit einem unverhältnismäßigen Aufwand verbunden gewesen, sodass sie die Information der Betroffenen durch öffentliche Bekanntmachung gewählt habe. Sie habe nicht schuldhaft und rechtswidrig gehandelt. Der vom Kläger ins Treffen geführte Rechercheaufwand falle in seine Sphäre und sei von der beklagten Partei nicht veranlasst. Der Erwerb von Wissen sei kein Schaden. Da dem Kläger über einen Gefühlsschaden hinaus kein Schaden entstanden sei, werde mit der Feststellung des Verstoßes gegen eine Bestimmung der DSGVO ein vollständiger und wirksamer Ausgleich hergestellt. Die finanzielle Entschädigung sei mit EUR 0 zu bemessen. Dem Kläger sei es nicht gelungen, einen Verstoß gegen die DSGVO aufzuzeigen, der kausal für den "Zorn" und die "Sorgegefühle" sein könnte. Es mangle an der Adäquanz und am Rechtswidrigkeitszusammenhang.

I. Mit dem angefochtenen Beschluss wies das Erstgericht das Klagebegehren auf Zahlung von EUR 200,- an Rechtsanwaltshonorar für die Erhebung der Beschwerde an die DSB wegen Unzulässigkeit des Rechtsweges zurück. Es traf die eingangs der Entscheidung wiedergegeben sowie weitere auf den Seiten 2 und 5 bis 7 der Urteilsausfertigung ersichtliche Feststellungen, auf die verwiesen wird. Nach der ständigen Rechtsprechung könnten allfällige Kosten des Verwaltungsverfahrens nicht im Zivilrechtsweg begehrt werden. Die Voraussetzungen, um von diesem Grundsatz abzuweichen, würden hier nicht vorliegen, weshalb für einen Ersatzanspruch betreffend der für die Einbringung der Beschwerde bei der DSB angefallenen Kosten keine Grundlage bestehe.

Dagegen richtet sich der Rekurs des Klägers wegen unrichtiger rechtlicher Beurteilung mit einem auf Klagsstattgebung gerichteten Abänderungsantrag.

Die beklagte Partei beantragt, dem Rekurs nicht Folge zu geben, in eventu das Klagebegehren abzuweisen.

Der Zurückweisungsbeschluss ist uneingeschränkt – auch bei Streitwerten unter EUR 2.700,- (§ 517 Abs 1 Z 1 ZPO) – mit Rekurs anfechtbar. Die Erhebung eines Rekurses gegen die Zurückweisung eines Teilbegehrens konsumiert auch nicht das Recht auf Bekämpfung der gemeinsam mit dieser ausgefertigten Sachentscheidung ( Kodek in Fasching/Konecny 3III/1 § 261 ZPO Rz 67).

Der Rekurs ist berechtigt .

1. Darin verweist der Kläger auf die Entscheidung des OLG Linz zu 2 R 149/21a und macht geltend, die allgemeine Aussage der beklagten Partei nach Einlangen seines Auskunftsantrags, es könne zu Verzögerungen kommen, könne nicht als Unterrichtung über eine Fristverlängerung iSd Art 12 Abs 3 Satz 3 DSGVO angesehen werden. Die Missachtung der fristgerechten Beantwortung des Auskunftsantrags vom 4.3.2023 sei als rechtswidriges und schuldhaftes Verhalten anzusehen, welche die Einleitung des Verwaltungsverfahrens zur Beseitigung der Rechtswidrigkeit erforderlich gemacht und damit den Rettungsaufwandzur Erlangung der Auskunft in Form von Rechtsanwaltskosten von EUR 200,- verursacht habe. Der Kläger hätte nach fruchtlosem Verstreichen der Auskunftspflicht am 4.4.2023 parallel oder alternativ zum Verfahren vor der DSB auch eine zivilgerichtliche Leistungsklage auf Erteilung der Auskunft einbringen können, wobei es in diesem Fall zu einem Prozesskostenersatz nach der ZPO gekommen wäre. Ebenso hätte der Kläger vor einer solchen zivilgerichtlichen Leistungsklage im Hinblick auf § 45 ZPO ein außergerichtliches anwaltliches Aufforderungsschreiben an die beklagte Partei richten und – sofern dieses zum Erfolg geführt hätte – die Kosten dafür zivilgerichtlich geltend machen können.

2.Auf Grund des § 74 AVG gilt hinsichtlich der Kosten der Beteiligten insofern der Grundsatz der Selbsttragung, als ein Kostenersatz zwischen den Beteiligten nur stattfindet, wenn die Verwaltungsvorschriften ausnahmsweise eine diesbezügliche Regelung enthalten ( Hengstschläger/Leeb, AVG § 74 Rz 4). Gegen die Verfassungsmäßigkeit des § 74 AVG bestehen keine Bedenken (VfGH E 316/2020-5).

Ein Kostenersatz für allfällige Verfahrenskosten (insbesondere Rechtsanwaltskosten), die für einen Betroffenen im Rahmen eines Beschwerdeverfahrens nach Art 77 Abs 1 DSGVO (Recht auf Beschwerde bei einer Aufsichtsbehörde) entstehen, ist weder in der DSGVO noch im DSG vorgesehen. Ein Anspruch auf Kostenersatz kann jedoch dann bestehen, wenn von einem gerichtlichen Rechtsbehelf nach Art 79 DSGVO (Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter) Gebrauch gemacht wird. Diesfalls richten sich die Kostenersatzregeln für den Zivilprozess nach dem nationalen Recht des Mitgliedstaates ( Zavadil in Knyrim , DatKomm Art 57 DSGVO Rz 26 und FN 20). Dem Nachteil im (datenschutzrechtlichen) Verwaltungsverfahren, die eigenen Kosten selbst zu tragen, steht der Vorteil des fehlenden Risikos gegenüber, zur Übernahme von Kosten eines anderen Beteiligten verpflichtet zu werden (VfGH E 316/2020-5).

3. Nach der Rechtsprechung kann der Ersatz der Kosten des Verwaltungsverfahrens nicht im Zivilrechtsweg begehrt werden ( Ballon/Fucik/Lovrek in Fasching/Konecny 3§ 1 JN Rz 217), der ordentliche Rechtsweg ist für die selbständige Geltendmachung von Verwaltungsverfahrenskosten ausgeschlossen (RS0022786). Davon ausgehend bedürfte es einer besonderen gesetzlichen oder höchstgerichtlichen Grundlage, warum das Gericht doch über die Kosten des Verwaltungsverfahrens abzusprechen hätte. Aus der Rechtsprechung, dass der Rechtsweg unzulässig sei, wenn das Verwaltungsverfahren einen Kostenersatz nicht vorsehe, kann nicht im Umkehrschluss abgeleitet werden, dass in jedem Falleines fehlenden Kostenersatzanspruches im Verwaltungsverfahren die Kosten dieses Verwaltungsverfahrens als materiell-rechtlicher Schadenersatzanspruch vor Gericht geltend gemacht werden können. Dieses Verständnis würde in letzter Konsequenz dazu führen, dass jede in einem „kontradiktorischen“ Verwaltungsverfahren obsiegende Partei Kostenersatz verlangen könnte, entweder im Verwaltungsverfahren, wenn dies im Materiengesetz vorgesehen ist, oder vor Gericht, wenn die Ersatzpflicht im Materiengesetz nicht vorgesehen ist. Dies widerspräche der Abgrenzung von Verwaltung und Rechtsprechung aber auch der Regel des § 74 AVG (vgl OLG Wien 13 R 135/21z).

4. Nur unter bestimmten Voraussetzungen lässt die Rechtsprechung die Geltendmachung von Kosten des Verwaltungsverfahrens als Schadenersatz im Zivilrechtsweg zu:

Nach älterer Rechtsprechung galt dies etwa im Fall der Übertretung einer privatrechtlichen Vereinbarung (vgl RS0022786 [T1]) oder nach einer Verweisung auf den Zivilrechtsweg durch die Verwaltungsbehörde (vgl 6 Ob 94/20x mwN; RS0022786 [T2]). Derartiges liegt hier nicht vor.

Die Rechtsprechung nimmt aber noch eine weitere Ausnahme an: In der Entscheidung 4 Ob 37/16v führte der Oberste Gerichtshof aus, dass die Frage, ob eine Partei ihren im Verwaltungsrechtsweg entstandenen Kostenaufwand erfolgreich geltend machen kann, davon abhängig ist, ob die andere Partei rechtswidrig und schuldhaft falsche Angaben gegenüber der Verwaltungsbehörde gemacht hatte, die dafür kausal waren, dass diese ein Verfahren veranlasste, wodurch der erstgenannten Partei die als Schaden geltend gemachten Vertretungskosten entstanden. Bei diesen Kosten handelt es sich um einen Rettungsaufwand, also um einen Aufwand, der gemacht wurde, um eine Gefahr abzuwenden (vgl 6 Ob 94/20x: eine ganz offensichtlich unbegründete Anzeige wegen Fahrerflucht hatte Rechtsverteidigungskosten ausgelöst). Der Rettungsaufwand ist positiver Schaden, der nur zu ersetzen ist, wenn er zweckmäßig war, aber unter dieser Voraussetzung auch dann, wenn er ohne Erfolg geblieben ist. Als Maßstab für die Beurteilung der Zweckmäßigkeit hat das Vorgehen zu dienen, das ein „vernünftiger Mensch" bei gleicher Sachlage gewählt hätte. Ein solcher Aufwand kann in der Erstattung von Rechtsverfolgungskosten liegen. Die Frage eines allfälligen Rettungsaufwands ist daher im Rahmen einer ex ante-Betrachtung zu beurteilen (RS0023516 [T1]). Ein Rettungsaufwand kann nach schadenersatzrechtlichen Gesichtspunkten nur Kosten für unvermeidbare Verfahrenshandlungenumfassen (RS0023516 [T2]).

5.Das OLG Linz argumentierte in der vom Kläger zitierten Entscheidung zu 2 R 149/21a, der ebenfalls eine Beschwerdeerhebung an die DSB durch den dortigen Kläger zugrundeliegt, basierend auf dieser Rechtsprechung, dass Kosten aus einem Vorverfahren, auch wenn dieses ein Verwaltungsverfahren sei, im Sinne eines Rettungsaufwands unter den allgemeinen Schadensbegriff des § 1293 ABGB iVm Art 82 DSGVO, § 29 DSG fallen und zu ersetzen seien.

6. Bei der Entscheidung über die Zulässigkeit des Rechtswegs sind in erster Linie der Wortlaut des Klagebegehrens und darüber hinaus der Klagssachverhalt (die Klagsbehauptungen) maßgebend ( Klauser/Kodek, JN – ZPO 18§ 1 JN E 12). Es kommt darauf an, ob nach dem Inhalt der Klage ein Anspruch geltend gemacht wird, über den die Zivilgerichte zu entscheiden haben ( Klauser/KodekaaO § 1 JN E 11). Es muss nicht nur der Wortlaut des Klagebegehrens, sondern auch die Natur des geltend gemachten Anspruchs berücksichtigt werden; hiefür ist wiederum der geltend gemachte Rechtsgrund von ausschlaggebender Bedeutung ( Klauser/KodekaaO § 1 JN E 17). Für Schadenersatzansprüche sind grundsätzlich die ordentlichen Gerichte zuständig ( Klauser/KodekaaO § 1 JN E 48).

Der Kläger begehrt hier den Ersatz der ihm für die Erhebung der Beschwerde entstandenen Rechtsanwaltskosten hier ausdrücklich aus dem Titel des Schadenersatzes. Diese seien rechtswidrig und kausal von der beklagten Partei verursacht worden, da sie seinen Auskunftsantrag nicht fristgemäß beantwortet habe.

7. Daraus folgt aber, dass das Erstgericht meritorisch über diesen geltend gemachten Schadenersatzanspruch zu entscheiden und das Vorliegen der von der Rechtsprechung herangezogenen Voraussetzungen für eine Ersatzfähigkeit zu prüfen gehabt hätte und der Einwand der Unzulässigkeit des Rechtsweges nicht zutrifft. Bei der Beurteilung der Zulässigkeit des Rechtsweges haben die meritorischen Erfolgsaussichten der Klage außer Betracht zu bleiben (vgl OLG Wien 13 R 24/17w). Darüber zu entscheiden hat jedenfalls das Zivilgericht.

8. Dem Rekurs war daher Folge zu geben, die Prozesseinrede der Unzulässigkeit des Rechtsweges zu verwerfen und dem Erstgericht die Fortsetzung des Verfahrens unter Abstandnahme von dem gebrauchten Zurückweisungsgrund aufzutragen. Allenfalls wird dabei zu berücksichtigen sein, ob das mit der klagsgegenständlichen Beschwerde eingeleitete Verfahren bei der DSB noch anhängig ist oder nicht. Hingewiesen sei auch darauf, dass der Kläger in seinem Rekurs sogar ausdrücklich die ihm zur Verfügung gestandenen Alternativen zur Beschwerdeerhebung an die DSB auf, nämlich ein anwaltliches Aufforderungsschreiben an die beklagte Partei zu richten oder eine Klage nach Art 79 DSGVO gegen sie einzubringen. Das Erstgericht wird daher unter Umständen auch das Vorliegen einer „unvermeidbaren“ Verfahrenshandlung zu prüfen haben.

9. Eine Prozesseinrede des Beklagten löst einen Zwischenstreit aus. Unabhängig vom Ausgang in der Hauptsache sind jener Partei, die darin obsiegt, die dadurch verursachten, vom allgemeinen Verfahrensaufwand abgrenzbaren (Mehr-)Kosten zuzusprechen ( Kellner in Kodek/Oberhammer,ZPO-ON § 261 ZPO Rz 22; vgl auch Kodek in Fasching/Konecny 3III/1 § 261 ZPO Rz 62). Solche abgrenzbaren Kosten liegen im erstinstanzlichen Verfahren nicht vor, auch im Rechtsmittelverfahren wurden abgesondert Kosten für Rekurs und Rekursbeantwortung nicht verzeichnet (sondern lediglich für die Berufung und deren Beantwortung). Eine Kostenentscheidung hat daher mangels abgrenzbarer Kosten zu unterbleiben.

10.Zu beachten bleibt, dass es sich wegen der endgültigen Verneinung eines Prozessvoraussetzungsmangels inhaltlich um eine abändernde Entscheidung handelt, sodass ein Ausspruch iSd § 500 Abs 2 iVm § 526 Abs 3 ZPO über den Wert des Entscheidungsgegenstandes und die Zulässigkeit des Revisionsrekurses erforderlich ist ( Kodek in Fasching/Konecny 3III/1 § 261 ZPO Rz 72). Die Unzulässigkeit des Revisionsrekurses gründet hier auf §§ 526 Abs 3 ZPO iVm 500 Abs 2 Z 2, 502 Abs 2, da der Entscheidungsgegenstand an Geld oder Geldeswert insgesamt EUR 5.000,- nicht übersteigt.

II. Mit dem angefochtenen Urteil wies das Erstgericht das Klagebegehren auf Zahlung von EUR 200,- an immateriellem Schadenersatz ab. Es traf die eingangs der Entscheidung wiedergegeben sowie weitere auf den Seiten 2 und 5 bis 7 der Urteilsausfertigung ersichtliche Feststellungen, auf die verwiesen wird.

In rechtlicher Hinsicht führte es – soweit für das Rechtsmittelverfahren relevant - aus, es liege keine Rechtsverletzung vor. Der Kläger habe sich zwar über den Datenvorfall geärgert, doch sei dieser Ärger allgemeiner Natur gewesen, welcher seinen Alltag nicht beeinträchtigt habe. Daraus habe keinerlei negative Auswirkung oder Beeinträchtigung resultiert. Der Nachweis eines immateriellen (oder diesbezüglich allenfalls vorliegenden materiellen) Schadens sei dem Kläger nicht gelungen. Nachdem der beklagten Partei eine individuelle Betroffenheit des Klägers vom Datensicherheitsvorfall bis zuletzt nicht bekannt gewesen sei, scheitere der Vorwurf der unterbliebenen persönlichen Verständigung des Klägers bereits daran. Die beklagte Partei habe im konkreten Fall – unabhängig davon, ob sie gewusst habe, ob der Kläger tatsächlich betroffen sei – durch die öffentliche Bekanntmachung mittels Presseaussendung ihre diesbezüglichen Pflichten gemäß Art 34 Abs 3 lit c DSGVO erfüllt.

Dagegen richtet sich die Berufung des Klägers wegen unrichtiger rechtlicher Beurteilung mit einem auf Klagsstattgebung gerichteten Abänderungsantrag.

Die beklagte Partei beantragt, der Berufung nicht Folge zu geben.

Die Berufung ist nicht berechtigt .

1. Darin macht der Kläger geltend, der beklagten Partei sei bekannt gewesen, dass der Kläger (wie jedermann) potentiell vom Vorfall betroffen sei. Dieses Wissen gehe mit einer Verpflichtung gegenüber jedermann einher, diesen in Form einer öffentlichen Bekanntmachung zu verständigen.

Der Umstand, dass der Kläger am Geschäftsverkehr teilnehme, könne nicht als Maßstab für seinen immateriellen Schaden herangezogen werden. Führe eine Datenschutzverletzung – hier also die Unterlassung einer den Anforderungen des Art 34 Abs 3 lit c DSGVO genügenden Vorfallsverständigung - zu einem immateriellen Schaden (hier Ärger) stelle dies einen gemäß Art 82 DSGVO zu ersetzenden Schaden dar. Die Presseaussendung vom 27.5.2020 entspreche nicht den Vorgaben des Art 33 Abs 3 lit b, c und d DSGVO.

2. Unstrittige Voraussetzung eines Anspruches nach Art 82 Abs 1 DSGVO ist ein kausaler Verstoß gegen diese Verordnung, den der Kläger im Berufungsverfahren (nur noch) auf die Verletzung des Art 34 DSGVO stützt:

3. Art 34 DSGVO gewährt der betroffenen Person das subjektive Recht darauf, bei Vorliegen der hier normierten Voraussetzungen von der Datenschutzverletzung benachrichtigt zu werden ( König/Schaupp in Knyrim , DatKomm Art 34 DSGVO Rz 12).

Erste Voraussetzung der Benachrichtigungspflicht ist die Verletzung des Schutzes personenbezogener Daten ( König/Schaupp aaO Art 34 DSGVO Rz 11; vgl Jahnel , Kommentar zur Datenschutz-Grundverordnung Art 33 DSGVO Rz 5), die die DSGVO in Art 4 Z 12 DSGVO definiert als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Diese Definition bezieht sich somit zunächst auf eine Verletzung der Sicherheit des Schutzes personenbezogener Daten, nicht auf eine Verletzung des Datenschutzes allgemein ( König/Schaupp in Knyrim , DatKomm Art 33 DSGVO Rz 21/1). Für eine solche Verletzung der Sicherheit ist der Tatbestand auch erfüllt, wenn ein unbefugter Zugang als solcher möglich erscheint ( Hödl in Knyrim , DatKomm Art 4 DSGVO Rz 132). Nicht nur Angriffe Dritter, wie die eines Hackers, können eine Verletzung der Sicherheit begründen, sondern auch rein unternehmensinterne Handlungen. Voraussetzung ist weder, dass Verschulden vorliegt, noch, dass die Verletzungshandlung unrechtmäßig erfolgt ist. Auch zufällige Ereignisse ohne Zutun des Verantwortlichen sind erfasst ( König/Schaupp aaO Art 33 DSGVO Rz 21/2).

Weitere Voraussetzung der Benachrichtigungspflicht ist, dass der Data Breach voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat ( König/Schaupp aaO Art 34 DSGVO Rz 12). Ein „hohes Risiko“ wird bei Datenschutzverletzungen anzunehmen sein, die einen Identitätsdiebstahl oder -betrug, eine Rufschädigung betroffener Personen oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffenen Personen zur Folge haben können (vgl König/Schaupp aaO Art 34 DSGVO Rz 17).

Obwohl Art 34 DSGVO nicht explizit davon spricht, setzt die Benachrichtigungspflicht voraus, dass die Verletzung des Schutzes personenbezogener Daten dem Verantwortlichen auch tatsächlich bekannt wurde (vgl König/Schaupp aaO Art 34 DSGVO Rz 12/1).

Die Benachrichtigung soll grundsätzlich den betroffenen Personen direkt zugehen, außer damit ist ein unverhältnismäßiger Aufwand verbunden, dann reicht eine öffentliche Bekanntmachung aus. Besteht eine Unsicherheit, ob eine Person betroffen ist, so ist sie zu benachrichtigen, da die Verpflichtung zur Benachrichtigung nur dann entfällt, wenn zweifelsfrei feststeht, dass sie nicht betroffen ist ( König/Schaupp aaO Art 34 DSGVO Rz 13). Inhaltlich muss eine öffentliche Bekanntmachung den Anforderungen an den Inhalt einer individuellen Benachrichtigung genügen. Je nach den Umständen des Einzelfalls kommen als öffentliche Bekanntmachung bspw infrage: großformatige Zeitungsanzeigen in Tageszeitungen, sonstigen landesweiten oder regionalen Medien oder über soziale Netzwerke, Rundfunk bzw Fernsehen (etwa in Form einer Pressekonferenz) oder Information auf einer von den betroffenen Personen regelmäßig besuchten Webseite des Verantwortlichen ( König/Schaupp aaO Art 34 DSGVO Rz 22).

Die Benachrichtigung hat gemäß Art 34 Abs 2 DSGVO in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und iVm Art 33 Abs 3 DSGVO zumindest folgende Informationen zu enthalten: den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (lit b); eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten (lit c) und eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen (lit d; König/Schaupp aaO Art 34 DSGVO Rz 23).

4. Da die beklagte Partei – wie ihrer gemäß Art 33 DSGVO an die Datenschutzbehörde erstatteten Meldung zu entnehmen ist - von der Möglichkeit eines Data Breaches wusste bzw ausgehen musste („Die ersten uns vom BK mitgeteilten Indizien sprachen dafür, dass der zum Verkauf stehende Datenbestand zumindest zum Teil aus unseren Datenbeständen stammen könnte...“) und Unklarheit bestand, ob der Kläger betroffen ist oder nicht, traf sie die Benachrichtigungspflicht gegenüber dem Kläger. Die Verpflichtung zur Benachrichtigung wäre nur dann entfallen, wenn zweifelsfrei festgestanden hätte, dass der Kläger nicht betroffen ist, was hier aber nicht der Fall war. Den Anforderungen einer Benachrichtigung nach Art 34 Abs 2 DSGVO wird die Presseaussendung vom 27.5.2020 nicht gerecht, weil diese bspw keine Kontaktdaten eines allfälligen Datenschutzbeauftragten bzw einer sonstigen Kontaktstelle (vgl Jahnel , Kommentar zur Datenschutz-Grundverordnung Art 34 DSGVO Rz 31) enthält.

5.Ist der betroffenen Person durch die Unterlassung der Benachrichtigung über die Datenschutzverletzung ein materieller oder immaterieller Schaden entstanden, hat sie einen Schadenersatzanspruch nach Art 82 DSGVO iVm § 29 DSG ( Jahnel aaO Art 34 DSGVO Rz 39). Betroffene Personen können Meldungen aufgrund von Art 33 DSGVO in Schadenersatzprozessen nach Art 82 DSGVO vor Zivilgerichten verwenden (dies ist auch aus dem Zweck der Benachrichtigungspflicht des Art 34 DSGVO zu schließen; König/Schaupp aaO Art 33 DSGVO Rz 55/3).

6.Durch die Entscheidung des EuGH vom 4. 5. 2023, C-300/21, ist klargestellt, dass der bloße Verstoß gegen die Bestimmungen der DSGVO für sich nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Die von einem Verstoß gegen die DSGVO betroffene Person ist nicht von ihrer Nachweispflicht für den Schaden befreit (EuGH C-300/21 [Rn 50]). Die Ausgestaltung von Klageverfahren und die Festlegung der Kriterien für die Ermittlung des Umfangs eines Schadenersatzes richten sich in Ermangelung einschlägiger unionsrechtlicher Vorschriften nach dem nationalen Recht, wobei Äquivalenz- und Effektivitätsgrundsatz zu beachten sind (EuGH C-300/21 [Rn 54]). Auch der EuGH fordert für das Bestehen eines Schadenersatzanspruchs aber auch, dass zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden ein Kausalzusammenhang bestehen muss (EuGH C-300/21 [Rn 37]; vgl 6 Ob 94/23a).

7.Die vom Erstgericht getroffenen Feststellungen ergeben keinen Schaden des Klägers, der aus der unterlassenen Benachrichtigung über den Datensicherheitsvorfall resultiert. Der Ärger des Klägers – wobei dahingestellt bleiben kann, ob es sich dabei überhaupt um einen Schaden iSd Art 82 DSGVO handelt - bezog sich demnach auf den Datensicherheitsvorfall an sich, nicht aber auf die unterbliebene Benachrichtigung. Fehlt aber der Kausalzusammenhang zwischen dem Verhalten des Schädigers und dem Eintritt des behaupteten Schadens, ist kein Ersatz zu gewähren (vgl RS0022664). Ein Schadenersatzanspruch des Klägers scheitert somit schon an der mangelnden Kausalität des Verstoßes gegen die Benachrichtigungspflicht für seinen Ärger. Auf die weiteren Voraussetzungen eines Schadenersatzanspruches braucht daher nicht eingegangen zu werden.

8. Der Berufung war daher nicht Folge zu geben.

9.Die Entscheidung über die Kosten der Berufungsbeantwortung beruht auf §§ 41, 50 ZPO. Bemessungsgrundlage ist dabei das Berufungsinteresse (EUR 200, ).

10.Die Revision ist jedenfalls unzulässig, wenn der Streitgegenstand, über den das Berufungsgericht entschieden hat, (Entscheidungsgegenstand) – wie hier - an Geld oder Geldeswert insgesamt EUR 5.000,- nicht übersteigt (§ 502 Abs 2 ZPO).