VI ZR 53/23
BUNDESGERICHTSHOF VI ZR 53/23 BESCHLUSS vom 6. Mai 2025 in dem Rechtsstreit ECLI:DE:BGH:2025:060525BVIZR53.23.0 Der VI. Zivilsenat des Bundesgerichtshofs hat auf die mündliche Verhandlung vom 6. Mai 2025 durch den Vorsitzenden Richter Seiters, die Richterin Müller, die Richter Dr. Allgayer und Böhm sowie die Richterin Dr. Linder beschlossen:
I. Das Verfahren wird ausgesetzt.
II. Dem Gerichtshof der Europäischen Union werden zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119 vom 4. Mai 2016, S. 1) und zur Auslegung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4. Mai 2016, S. 89; im Folgenden: JI-RL) folgende Fragen zur Vorabentscheidung vorgelegt:
1. Sind Art. 2 Abs. 2 Buchst. d DSGVO und Art. 1 Abs. 1, Art. 2 Abs. 1 JI-RL dahingehend auszulegen, dass sich die Beurteilung eines Anspruchs auf Ersatz des immateriellen Schadens wegen Verletzung der Auskunftspflicht im Hinblick auf die Verarbeitung von personenbezogenen Daten durch ein Gericht in einem Verfahren wegen einer Ordnungswidrigkeit (Bußgeldverfahren)
nach dem in Umsetzung der JI-Richtlinie (Art. 56 und Art. 14 JIRL) erlassenen nationalen Recht oder nach der DatenschutzGrundverordnung (Art. 82 i.V.m. Art. 15 DSGVO) richtet?
2. a) Falls die Datenschutz-Grundverordnung anwendbar ist:
Sind die Regelungen in Art. 82 Abs. 1, Abs. 2 Satz 1 DSGVO dahingehend zu verstehen, dass sie einer betroffenen Person auch wegen Verletzung ihres Auskunftsrechts nach Art. 15 DSGVO einen Anspruch auf Schadensersatz für den wegen einer verspäteten oder unvollständigen Auskunft entstandenen immateriellen Schaden einräumen?
b) Falls die JI-Richtlinie anwendbar ist:
Ist Art. 56 JI-RL dahingehend zu verstehen, dass die Mitgliedstaaten auch für die Verletzung des Auskunftsrechts nach den Art. 14 JI-RL umsetzenden nationalen Vorschriften ein Recht auf Schadensersatz für den wegen einer verspäteten oder unvollständigen Auskunft entstandenen immateriellen Schaden vorzusehen haben?
3. Falls Frage 2 a) oder 2 b) bejaht wird:
Stellt bereits die mit einer Verletzung der Auskunftspflicht (nach Art. 15 DSGVO bzw. nach den auf Art. 14 JI-RL beruhenden nationalen Vorschriften) einhergehende Ungewissheit des Betroffenen über die Verarbeitung seiner personenbezogenen Daten und die daraus resultierende Hinderung daran, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen und etwaige diesbezügliche Rechte geltend zu machen, einen immateriellen Schaden im Sinne von Art. 82 DSGVO bzw. Art. 56 JI-RL dar?
Gründe:
A. Sachverhalt und Ausgangsrechtsstreit Der Kläger begehrt von der Beklagten immateriellen Schadensersatz wegen Verletzung der datenschutzrechtlichen Auskunftspflicht.
Der Kläger wandte sich im Rahmen eines gegen ihn wegen einer Verkehrsordnungswidrigkeit geführten gerichtlichen Bußgeldverfahrens mit Schreiben vom 29. November 2018 an das Amtsgericht Hamburg-Harburg und forderte dieses zur Auskunft gemäß § 57 BDSG über die beim Amtsgericht verarbeiteten Daten über seine Person, die Verarbeitungszwecke, die Kategorien der ihn betreffenden personenbezogenen Daten, die (Kategorien der) Empfänger, die geplante Dauer der Speicherung und die Herkunft seiner Daten und über das Bestehen seiner Rechte in Bezug auf die Datenverarbeitung auf.
Mit Schreiben vom 16. September 2019 antwortete der Präsident des Amtsgerichts Hamburg, bat um Nachsicht wegen der verzögerten Bearbeitung und erklärte, er gehe aufgrund des Protokolls über die mündliche Verhandlung des Amtsgerichts in der Bußgeldsache davon aus, dass dem Kläger durch Inaugenscheinnahme und Verlesung der wesentlichen Aktenbestandteile bekannt sei, welche seiner personenbezogenen Daten seitens des Amtsgerichts verarbeitet worden seien. Darüber hinaus beinhalteten die von ihm zur Akte gereichten Schriftsätze und die ihm bekannten gerichtlichen Entscheidungen in der Buß- geldsache ebenfalls personenbezogene Daten. Die Verfahrensakte sei, wie verfahrensrechtlich vorgesehen, an die Staatsanwaltschaft Hamburg übersandt worden, eine Datenübermittlung an weitere Stellen oder sonstige Dritte seitens des Amtsgerichts sei nicht erfolgt.
Mit der Klage hat der Kläger immateriellen Schadensersatz in Höhe von mindestens 1.200 € verlangt und dies insbesondere damit begründet, dass ihm die Auskunft verspätet und (bis heute) unvollständig erteilt worden sei. Sein immaterieller Schaden liege in der Ungewissheit darüber, in welchem Umfang seine Daten verarbeitet worden seien. Die verspätete und dann nicht vollständige Auskunft habe zu einem Kontrollverlust geführt, weil er keine Kenntnis über den Umfang und die Kategorien der verarbeiteten Daten erhalten habe. Zur Kontrolle von Daten gehöre es auch, die ihm gesetzlich eingeräumten Rechte, insbesondere auf Löschung personenbezogener Daten, ausüben zu können; hierfür bedürfe es der Auskunft. Die unterbliebene Auskunft habe den Kläger psychisch belastet, da er Stress und Sorge hinsichtlich des Umfangs der Datenverarbeitung gehabt habe.
Seinen weiteren, auf Auskunft gerichteten Klageantrag hat der Kläger nach Hinweis darauf, dass dafür der Verwaltungsrechtsweg eröffnet sei, zurückgenommen; eine Auskunftsklage vor dem Verwaltungsgericht hat er nicht erhoben.
Das Landgericht hat die Klage abgewiesen. Die Berufung des Klägers hat das Oberlandesgericht zurückgewiesen. Der Kläger könne seinen Schadensersatzanspruch nicht auf Art. 82 Abs. 1 DSGVO stützen, weil diese Verordnung nach Art. 2 Abs. 2 Buchst. d DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten zum Zwecke der Strafverfolgung finde, wobei der Begriff der Strafverfolgung auch das Bußgeldverfahren umfasse. Der Kläger habe aber auch keinen Anspruch nach § 83 Abs. 1 und 2 BDSG, mit dem die JI-Richtlinie in deutsches Recht umgesetzt worden sei. Dabei könne offenbleiben, ob hier eine verspätete oder unvollständige Auskunft vorliege und diese eine Verarbeitung personenbezogener Daten sei. Denn jedenfalls habe der Kläger den Eintritt eines immateriellen Schadens nicht dargelegt. Mit der abstrakten Benennung einer "Ungewissheit" oder eines "Kontrollverlustes" sei nicht dargelegt oder ersichtlich, ob und wie ihn dies beeinträchtigt haben könnte. Auch der (erst in der Berufungsinstanz nachgetragene und nicht zuzulassende) Vortrag, der Kläger habe Stress und Sorge hinsichtlich des Umfangs der Datenverarbeitung gehabt, ermögliche keine lebensnahe und nachvollziehbare Schadensbestimmung. Dass eine Beeinträchtigung des Klägers nicht vorliege, werde dadurch bestätigt, dass der Kläger den Auskunftsanspruch nicht weiter verfolgt habe, ferner durch seine Einlassung in der mündlichen Verhandlung in der Berufungsinstanz, er habe das Gerichtsverfahren gezielt angeschoben, um den Rechtsstaat zu testen.
Mit der vom Berufungsgericht zugelassenen Revision verfolgt der Kläger seine Klage auf Schadensersatz in vollem Umfang weiter.
B. Möglicherweise auf den Fall anwendbare Vorschriften des nationalen Rechts:
Bundesdatenschutzgesetz (BDSG) § 45 Anwendungsbereich Die Vorschriften dieses Teils gelten für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. ...
§ 57 Auskunftsrecht
(1) Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft darüber zu erteilen, ob er sie betreffende Daten verarbeitet. Betroffene Personen haben darüber hinaus das Recht, Informationen zu erhalten über
1. die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie gehören,
2. die verfügbaren Informationen über die Herkunft der Daten,
3. die Zwecke der Verarbeitung und deren Rechtsgrundlage,
4. die Empfänger oder die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind, insbesondere bei Empfängern in Drittstaaten oder bei internationalen Organisationen,
5. die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
6. das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung der Daten durch den Verantwortlichen,
…
§ 83 Schadensersatz und Entschädigung
(1) Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflichtet.
(2) Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen.
…
C. Zur Vorlage an den Gerichtshof Der Erfolg der Revision hängt von der Auslegung des Unionsrechts ab. Vor einer Entscheidung ist deshalb das Verfahren auszusetzen und gemäß Art. 267 Abs. 1 Buchst. b und Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) einzuholen.
I. Zur ersten Vorlagefrage:
Die Vorinstanzen sind davon ausgegangen, dass die JI-Richtlinie und nicht die Datenschutz-Grundverordnung anwendbar ist, und haben den geltend gemachten Schadensersatzanspruch dementsprechend an § 83 Abs. 2 i.V.m. § 57 BDSG gemessen.
1. Gemäß Art. 2 Abs. 2 Buchst. d DSGVO findet diese Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung. Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu diesen Zwecken enthält gemäß Art. 1 Abs. 1 JI-RL diese Richtlinie; damit korrespondiert die Bestimmung des Anwendungsbereichs der Richtlinie in Art. 2 Abs. 1 JI-RL.
Teil 3 des Bundesdatenschutzgesetzes (BDSG) enthält Bestimmungen für die Verarbeitung zu Zwecken gemäß Art. 1 Abs. 1 der JI-RL. Gemäß § 45 Satz 1 BDSG gelten die Vorschriften dieses Teils für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten.
Geht es um die Verarbeitung von personenbezogenen Daten durch ein Gericht in einem Verfahren wegen einer Ordnungswidrigkeit (Bußgeldverfahren), so stellt sich die (aus Sicht des Senats geklärte) Frage, ob Ordnungswidrigkeiten unter den europarechtlichen Begriff der "Straftaten" fallen (dazu 2.), sowie die weitere (aus Sicht des Senats noch nicht geklärte) Frage, ob die Entscheidungsfindung über Ordnungswidrigkeiten und deren Sanktionierung durch die Gerichte im Bußgeldverfahren eine "Verfolgung" durch die "zuständigen Behörden" im Sinne von Art. 2 Abs. 2 Buchst. d DSGVO und Art. 1 Abs. 1, Art. 2 Abs. 1 JI-RL darstellt (dazu 3.). § 45 Satz 1 BDSG wäre entsprechend den Antworten auf diese Fragen unionsrechtskonform auszulegen.
2. Der Senat geht insbesondere im Hinblick auf das Urteil des Gerichtshofs vom 22. Juni 2021 - C-439/19 (ECLI:EU:C:2021:504, RIW 2022, 77) davon aus, dass die dem Ausgangsfall zugrunde liegende Ordnungswidrigkeit, die zur Durchführung des Bußgeldverfahrens vor dem Amtsgericht und in diesem Zuge zum Auskunfts- und Schadensersatzverlangen des Klägers führte, eine "Straftat" im Sinne von Art. 2 Abs. 2 Buchst. d DSGVO sowie Art. 1 Abs. 1 und Art. 2 Abs. 1 JI-RL ist; insoweit dürfte es sich um einen acte éclairé handeln.
a) Gemäß ErwG 13 JI-RL ist eine Straftat im Sinne dieser Richtlinie ein eigenständiger Begriff des Unionsrechts in der Auslegung durch den Gerichtshof. Die Begriffe einer Vorschrift des Unionsrechts, die - wie hier Art. 2 Abs. 2 Buchst. d DSGVO und Art. 1 Abs. 1, Art. 2 Abs. 1 JI-RL - für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, müssen in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten (vgl. EuGH, ECLI:EU:C:2021:504, RIW 2022, 77 Rn. 81, 84 mwN).
Nach ständiger Rechtsprechung des Gerichtshofs sind für die Beurteilung des strafrechtlichen Charakters einer Zuwiderhandlung drei Kriterien maßgebend: erstens die rechtliche Einordnung der Zuwiderhandlung im innerstaatlichen Recht, zweitens die Art der Zuwiderhandlung und drittens der Schweregrad der dem Betroffenen drohenden Sanktion (EuGH, ECLI:EU:C:2021:504, RIW 2022, 77 Rn. 87; ECLI:EU:C:2021:84, NZG 2021, 295 Rn. 42; ECLI:EU:C:2018:193, NJW 2018, 1233 Rn. 28; ECLI:EU:C:2012:319, EuZW 2021, 543 Rn. 37; jeweils mwN). Was das erste Kriterium angeht, hat der Gerichtshof allerdings entschieden, dass der Umstand, dass Verkehrsverstöße in einem Mitgliedstaat als Ordnungswidrigkeiten und nicht als Straftaten eingestuft werden, für die Beurteilung, ob diese Verstöße unter den Begriff der Straftaten im Sinne der DatenschutzGrundverordnung fallen, nicht entscheidend ist (EuGH, ECLI:EU:C:2021:504, RIW 2022, 77 Rn. 80 zu Art. 10 DSGVO). Auch für Zuwiderhandlungen, die im innerstaatlichen Recht nicht als "strafrechtlich" eingestuft werden, kann sich deshalb ein solcher Charakter aus der Art der Zuwiderhandlung und dem Schweregrad der dem Betroffenen drohenden Sanktion ergeben (EuGH, ECLI: EU:C:2021:504, RIW 2022, 77 Rn. 88 mwN). Das Kriterium, das sich auf die Art der Zuwiderhandlung bezieht, erfordert die Prüfung, ob mit der fraglichen Sanktion - ggf. neben einer präventiven Zielsetzung - jedenfalls auch eine repressive Zielsetzung verfolgt wird. Dies ist bei der Verhängung von "Strafpunkten" für Verkehrsverstöße ebenso wie bei Bußgeldern oder anderen Sanktionen, die die Begehung dieser Verstöße nach sich ziehen kann, der Fall (EuGH, ECLI:EU:C:2021:504, RIW 2022, 77 Rn. 89). Was das Kriterium des Schweregrads der Sanktionen betrifft, hat der Gerichtshof festgestellt, dass Verkehrsverstöße, die (wie im lettischen Recht) zur Verhängung von "Strafpunkten" führen können, unter den Begriff der Straftaten (im Sinne von Art. 10 DSGVO) fallen (EuGH, ECLI:EU:C:2021:504, RIW 2022, 77 Rn. 93). Begründet hat der Gerichtshof dies damit, dass (nach lettischen Recht) nur Verkehrsverstöße von gewisser Schwere zur Verhängung von Strafpunkten führten, die zu der im Fall eines Verkehrsverstoßes verhängten Sanktion hinzukomme, und dass die Kumulierung von Strafpunkten rechtliche Folgen habe, wie etwa die Verpflichtung, eine Prüfung abzulegen, oder ein Fahrverbot (EuGH, ECLI:EU:C:2021:504, RIW 2022, 77 Rn. 90). Diese Analyse werde, so der Gerichtshof weiter, bestätigt durch die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR), wonach Verkehrsverstöße trotz einer Tendenz zur "Entkriminalisierung" dieser Verstöße in einigen Staaten im Allgemeinen als Verstöße strafrechtlicher Natur anzusehen seien (EuGH, ECLI:EU:C:2021:504, RIW 2022, 77 Rn. 91). Der EGMR hat in dem vom Gerichtshof in diesem Zusammenhang zitierten Urteil vom 21. Februar 1984 (Öztürk gg. Deutschland, ECLI:CE:ECHR:984: 0221JUD000854479, NJW 1985, 1273) für Ordnungswidrigkeiten nach deutschem Recht, die in der Nichtbeachtung der Straßenverkehrsordnung bestehen, festgestellt, dass die dort als Sanktionen drohenden Geldbußen auch repressiven Charakter hätten und dass die vergleichsweise Geringfügigkeit der möglichen Sanktion für eine geringfügige Zuwiderhandlung den ihr innewohnenden strafrechtlichen Charakter nicht nehmen könne, weshalb sie nicht aus dem Anwendungsbereich des Art. 6 EMRK herausfalle (EGMR, ECLI:CE:ECHR:1984: 0221JUD000854479, NJW 1985, 1273 Nr. 49-54).
b) Es ist Sache des vorlegenden Gerichts, im Lichte der vom Gerichtshof genannten drei Kriterien für die Beurteilung des strafrechtlichen Charakters einer Zuwiderhandlung zu beurteilen, ob die im Ausgangsverfahren in Rede stehenden Sanktionen strafrechtlicher Natur sind (EuGH, ECLI:EU:C:2021:84, NZG 2021, 295 Rn. 43).
c) Im Ausgangsrechtsstreit verlangt der Kläger Schadensersatz wegen der Verletzung der Pflicht des Präsidenten des Amtsgerichts zur Auskunft über die Verarbeitung von personenbezogenen Daten des Klägers in einem Bußgeldverfahren, das eine Verkehrsordnungswidrigkeit, nämlich die Überschreitung der zulässigen Höchstgeschwindigkeit innerhalb geschlossener Ortschaften von 50 km/h um 22 km/h, zum Gegenstand hatte. Solche Zuwiderhandlungen ordnet das deutsche Recht nicht als Straftat, sondern als Ordnungswidrigkeit ein (§ 24 Abs. 1 StVG, § 49 Abs. 1 Nr. 3, § 3 Abs. 3 Nr. 1 StVO). Sie sind aber nach den vom Gerichtshof genannten Kriterien Straftaten im Sinne von Art. 2 Abs. 2 Buchst. d DSGVO, Art. 1 Abs. 1, Art. 2 Abs. 1 JI-RL (ganz h.M., vgl. Johannes/Weinhold in Sydow/Marsch, DSGVO/BDSG, 3. Aufl., § 45 BDSG Rn. 42-44 mwN; Roßnagel in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., Art. 2 DSGVO Rn. 39 mwN; Kühling/Raab in Kühling/Buchner, DSGVO BDSG, 4. Aufl., Art. 2 DSGVO Rn. 29 mwN; Schmidt in Taeger/Gabel, DSGVOBDSG-TTDSG, 4. Aufl., Art. 2 DSGVO Rn. 27; Bäcker in BeckOK Datenschutzrecht, 51. Ed. [Stand 01.08.2023], Art. 2 DSGVO Rn. 25 a; a.A. Zerdick in Ehmann/Selmayr, DSGVO, 3. Aufl., Art. 2 Rn. 13). Die Sanktionen für Verkehrsordnungswidrigkeiten werden grundsätzlich in einem Bußgeldbescheid (§ 65 OWiG) durch eine Verwaltungsbehörde verhängt (sog. Ahndung, § 35 Abs. 2 OWiG), wobei grundsätzlich die allgemeinen Vorschriften über das Strafverfahren sinngemäß gelten (§ 46 Abs. 1 OWiG). Sie haben jedenfalls auch repressiven Charakter. Legt der Betroffene - wie der Kläger im Ausgangsfall - Einspruch gegen den Bußgeldbescheid ein, entscheidet hierüber das Amtsgericht (§§ 67, 68 OWiG), Verfolgungsbehörde wird dann die Staatsanwaltschaft (§ 69 Abs. 3, 4 OWiG). Was die Schwere der Sanktionen angeht, so sah der im Tatzeitpunkt maßgebliche Bußgeldkatalog für eine fahrlässige Überschreitung der Höchstgeschwindigkeit in geschlossenen Ortschaften um 21 bis 25 km/h zwar eine Regelgeldbuße von nur 80 € vor. Es drohte in einem solchen Fall (Ahndung mit Geldbuße von mindestens 60 €) mit der Rechtskraft der Entscheidung aber zusätzlich die Eintragung eines Punktes im Fahreignungsregister (FAER). Nach deutschem Recht kann die Kumulierung von Punkten im FAER zum Entzug der Fahrerlaubnis führen. Damit erreicht die Sanktion für die Verkehrsordnungswidrigkeit im Ausgangsfall eine hinreichende Schwere, um von einer Straftat im Sinne des Art. 2 Abs. 2 Buchst. d DSGVO (und damit korrespondierend der Art. 1 Abs. 1, Art. 2 Abs. 1 JI-RL) auszugehen.
3. Nicht klar und nicht durch den Gerichtshof geklärt ist aber, ob die Entscheidungsfindung über Straftaten (oder diesen unionsrechtlich gleichstehende Ordnungswidrigkeiten) und deren Sanktionierung durch ein Gericht der "Verfolgung" von Straftaten "durch die zuständigen Behörden" im Sinne der Art. 2 Abs. 2 Buchst. d DSGVO und Art. 1 Abs. 1, Art. 2 Abs. 1 JI-RL zuzuordnen ist. Dies ist in der deutschen Literatur umstritten (befürwortend: Wolff in BeckOK, Datenschutzrecht, 51. Ed. [Stand 01.11.2021], § 45 BDSG Rn. 34.1; Bäcker in BeckOK, Datenschutzrecht, 51. Ed. [Stand 01.08.2023], Art. 2 Rn. 26; Roßnagel in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., Art. 2 DSGVO Rn. 19; Richter in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., § 45 BDSG Rn. 19; ablehnend: Schmidt in Taeger/Gabel, DSGVOBDSG-TTDSG, 4. Aufl., Art. 2 DSGVO Rn. 28; Braun in Gola/Heckmann, DSGVO BDSG, 3. Aufl., § 45 BDSG Rn. 15, 29; vgl. auch Ernst in Paal/Pauly, DSGVO BDSG, 3. Aufl., Art. 2 DSGVO Rn. 23 und Schwartmann/Pabst/Köhler in Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO/BDSG, 3. Aufl., Art. 2 DSGVO Rn. 49, die wohl davon ausgehen, dass die Tätigkeit der Gerichte, auch der Strafgerichte, stets der DSGVO unterfällt).
a) Nach den Begrifflichkeiten des deutschen Rechts ist ein Gericht keine "Behörde" im engeren Sinne. Allerdings ist der autonom unionsrechtlich zu definierende Begriff der Behörde in der JI-Richtlinie weit gefasst. Nach Art. 3 Nr. 7 JI-RL ist zuständige Behörde gemäß Buchst. a) "eine staatliche Stelle, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung… zuständig ist" und Buchst. b) "eine andere Stelle oder Einrichtung, der durch das Recht der Mitgliedstaaten die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung … übertragen wurde." Diese Definition ist auf Art. 2 Abs. 2 Buchst. d DSGVO entsprechend anzuwenden (EuGH, ECLI:EU:C:2022:124, EuZW 2022, 527 Rn. 42; ECLI:EU:C:2021:504, RIW 2022, 77 Rn. 69). Dass die JI-Richtlinie mit dem Begriff der Behörde (Straf-)Gerichte einschließt, dürfte sich unmittelbar aus ErwG 80 JI-RL ergeben, nach dessen Einleitungssatz diese Richtlinie "auch für die Tätigkeit der nationalen Gerichte und anderer Justizbehörden gilt". Von "Gerichten und anderen Justizbehörden" bzw. "Gerichten und anderen unabhängigen Justizbehörden" ist auch in Art. 32 Abs. 1, Art. 45 Abs. 2 JI-RL sowie in ErwG 20 und 63 Satz 1 JI-RL die Rede. Mittelbar dürfte sich die Einbeziehung der Gerichte aus Art. 18 JI-RL sowie aus ErwG 30 Satz 2, 44 Satz 1 und 49 JI-RL ergeben.
Andererseits sind die Ausnahmetatbestände des Art. 2 Abs. 2 DSGVO eng auszulegen (EuGH, ECLI:EU:C:2023:442, NJW 2023, 2837 Rn. 316; ECLI:EU:C:2021:504, RIW 2022, 77 Rn. 62; jeweils mwN). ErwG 20 DSGVO erklärt ausdrücklich, dass die Datenschutz-Grundverordnung unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden gilt, vorbehaltlich bestimmter Modifikationen, die die Verordnung für den Fall, dass die Gerichte und andere Justizbehörden im Rahmen ihrer justiziellen Tätigkeit handeln, vorsieht oder erlaubt (EuGH, ECLI:EU:C:2023:442, NJW 2023, 2837 Rn. 320). Die Strafgerichte nimmt ErwG 20 DSGVO dabei nicht (ausdrücklich) aus.
b) Fraglich ist ferner, wie der Begriff der "Verfolgung" von Straftaten im Sinne von Art. 2 Abs. 2 Buchst. d DSGVO, Art. 1 Abs. 1, Art. 2 Abs. 1 JI-RL zu verstehen ist. Nach dem Verständnis des deutschen Rechts erfasst die Verfol- gung im engeren Sinne die Ermittlung der Straftaten durch die Strafverfolgungsbehörden (insbesondere Staatsanwaltschaften und Polizei) bis hin zur Anklageerhebung bzw. bei Ordnungswidrigkeiten die behördlichen Tätigkeiten zur Erforschung des Sachverhalts. Davon zu trennen ist die Entscheidungsfindung über die Straftaten und gegebenenfalls deren Sanktionierung durch die Strafgerichte bzw. die "Ahndung" der Ordnungswidrigkeiten durch die Verwaltungsbehörden und nach Einspruch gegen den Bußgeldbescheid die Aburteilung durch die Gerichte. Sollte der Begriff der Verfolgung von Straftaten in Art. 2 Abs. 2 Buchst. d DSGVO und Art. 1 Abs. 1, Art. 2 Abs. 1 JI-RL ebenfalls in einem engen Sinne verstanden werden (so Braun in Gola/Heckmann, DSGVO BDSG, 3. Aufl., § 45 BDSG Rn. 15, 29), fiele die Verarbeitung der personenbezogenen Daten im gerichtlichen Verfahren, in dem über die Taten entschieden wird, unter die Datenschutz-Grundverordnung. Nach dieser Verordnung und nicht nach dem die JIRichtlinie umsetzenden nationalen Recht wären dann auch die Ansprüche auf Auskunft über die Datenverarbeitung und auf Schadensersatz wegen Verletzung der Auskunftspflicht zu beurteilen.
II. Zur zweiten Vorlagefrage:
1. Die Frage ist, gleich ob die Datenschutz-Grundverordnung oder die JIRichtlinie anwendbar ist, entscheidungserheblich. Die Auskünfte, die der Kläger vorliegend verlangt hat, sind in dem Katalog des Art. 14 Halbsatz 2 Buchst. a bis g JI-RL und darauf beruhend in § 57 Abs. 1 Satz 2 Nr. 1 bis 6 BDSG und - damit im Wesentlichen identisch - in Art. 15 Abs. 1 Halbsatz 2 Buchst. a bis g DSGVO enthalten. Die Beklagte hat erst nach neun Monaten und damit nicht - wie in Art. 12 Abs. 3 JI-RL i.V.m. § 59 Abs. 2 BDSG bzw. Art. 12 Abs. 3 Satz 1 DSGVO vorgesehen - unverzüglich reagiert. Vor allem aber ist die schließlich erteilte Auskunft unvollständig geblieben. Beantwortet hat die Beklagte lediglich die Frage, an welche Empfänger die Daten des Klägers übermittelt wurden. Die weiteren Fragen blieben im Ergebnis unbeantwortet. Der Hinweis, aus den in der mündlichen Verhandlung in Augenschein genommenen und verlesenen Aktenbestandteilen, den Schriftsätzen des Klägers und den gerichtlichen Entscheidungen ergäben sich die vom Amtsgericht verarbeiteten personenbezogenen Daten, enthält die vom Kläger im Einzelnen verlangten und ihm sowohl nach der JI-Richtlinie als auch nach der Datenschutz-Grundverordnung zustehenden Auskünfte ersichtlich nicht. Dass im vorliegenden Fall das Auskunftsrecht nach Maßgabe des aufgrund der Ermächtigungen in Art. 15 Abs. 1 Buchst. a und b und Art. 18 JI-RL bzw. in Art. 23 Abs. 1 Buchst. d DSGVO erlassenen nationalen Rechts (insbesondere § 57 Abs. 4 i.V.m. § 56 Abs. 2 BDSG) nur eingeschränkt bestand, ist weder von der Beklagten geltend gemacht worden noch sonst ersichtlich.
2. Für den Fall der Anwendbarkeit der Datenschutz-Grundverordnung (Vorlagefrage 2 a):
a) Im Anwendungsbereich des Art. 82 DSGVO ist umstritten, ob jeder Verstoß gegen die Datenschutz-Grundverordnung, der zum Eintritt eines Schadens führt, einen Schadensersatzanspruch begründet (so etwa LAG Düsseldorf, ECLI:DE:LAGD:2024:0307.11SA808.23.00, juris Rn. 34 ff.; OLG Stuttgart, ECLI:DE:OLGSTUT:2023:1122.4U20.23.00, juris Rn. 380 ff.; OLG Köln, ECLI:DE:OLGK:2022:0714.15U137.21.00, NJW-RR 2023, 564 Rn. 14; jeweils mwN) oder ob nur eine der Verordnung nicht entsprechende Verarbeitung einen Ersatzanspruch für den dadurch verursachten Schaden auslöst (so etwa BSG, ECLI:DE:BSG:2024:240924UB7AS1523R0, NZA-RR 2025, 190 Rn. 21; LAG Düsseldorf, ECLI:DE:LAGD:2023:1128.3SA285.23.00, ZIP 2024, 1495, 1496, juris Rn. 31 ff. mwN.; LAG Nürnberg, ECLI:DE:LAGNUER:2023: 0125.4SA201.22.00, ZD 2023, 413 Rn. 17 ff. mwN; Paal, ZfDR 2023, 325, 334 ff. mwN; offengelassen: Senatsurteil vom 18. November 2024 - VI ZR 10/24, ECLI:DE:BGH:2024:181124UVIZR10.24.0, BGHZ 242, 180 Rn. 23; BAG, ECLI:
DE:BAG:2025:200225.U.8AZR61.24.0, juris Rn. 9; ECLI:DE:BAG:2024: 171024.U.8AZR215.23.0, DB 2025, 469 Rn. 8; ECLI:DE:BAG:2024:200624. U.8AZR124.23.0, DB 2024, 2837 Rn. 9 f.; ECLI:DE:BAG:2024:200624. U.8AZR91.22.0, DB 2024, 3114 Rn. 10; ECLI:DE:BAG:2022:050522. U.2AZR363.21.0, DB 2022, 2226 Rn. 11). Für die weite Auslegung wird insbesondere der Wortlaut des Art. 82 Abs. 1 DSGVO angeführt, die Befürworter der engeren Auslegung verweisen vor allem auf Art. 82 Abs. 2 Satz 1 DSGVO und ErwG 146 Satz 1 und 75 Satz 1 DSGVO. Für die Verletzung der Auskunftspflicht spielt die Frage deshalb eine Rolle, weil ferner umstritten ist, ob eine (zunächst) nicht oder nicht vollständig erteilte Auskunft an den Betroffenen überhaupt eine Datenverarbeitung darstellt (verneinend: LAG Düsseldorf, ECLI:DE: LAGD:2023:1128.3SA285.23.00, ZIP 2024, 1495, 1497, juris Rn. 41 ff.; bejahend: BSG, ECLI:DE:BSG:2024:240924UB7AS1523R0, NZA-RR 2025, 190 Rn. 22 f. mwN zum Streitstand; Franck in Gola/Heckmann, DSGVO BDSG, 3. Aufl., Art. 15 DSGVO Rn. 72). Teilweise wird auch argumentiert, dass es bei einer verspätet oder unvollständig erteilten Auskunft jedenfalls an der Kausalität fehle, weil nicht die Auskunft als solche - so man in ihr eine Verarbeitung sehe ursächlich für einen materiellen oder immateriellen Nachteil des Betroffenen sei, sondern das Unterlassen der fristgerechten und vollständigen Auskunftserteilung (LAG Düsseldorf, ECLI:DE:LAGD:2023:1128.3SA285.23.00, ZIP 2024, 1495, 1497, juris Rn. 46). Andere wiederum führen den Zweck des Auskunftsrechts gemäß Art. 15 DSGVO, sich der Verarbeitung der personenbezogenen Daten bewusst zu werden und deren Rechtmäßigkeit überprüfen zu können, als Grund dafür an, eine Verletzung der Auskunftspflicht als Verstoß im Sinne von Art. 82 Abs. 1 DSGVO anzusehen (BSG, ECLI:DE:BSG:2024:240924UB7AS1523R0, NZA-RR 2025, 190 Rn. 25; LAG Düsseldorf, ECLI:DE:LAGD:2024: 0307.11SA808.23.00, juris Rn. 36 mwN).
b) Die Frage, ob ein Verstoß gegen die Auskunftspflicht des Art. 15 DSGVO ein solcher im Sinne von Art. 82 Abs. 1 DSGVO ist, ist durch den Gerichtshof bislang nicht geklärt. Im Urteil vom 4. Mai 2023 - C-300/21 (ECLI:EU: C:2023:370, VersR 2023, 920 Rn. 36) hat der Gerichtshof allerdings ausgeführt, dass Art. 82 Abs. 2 DSGVO die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt sei, "präzisiere", und für die Entstehung des Schadensersatzanspruchs unter anderem eine "Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO" voraussetze. Dementsprechend hat der Gerichtshof entschieden, dass bei Verstößen gegen die Vorschriften der Art. 5 bis 11 DSGVO, mithin des zweiten Kapitels der DatenschutzGrundverordnung, die Grundsätze für die Verarbeitung von Daten aufstellen, zugleich eine unrechtmäßige Datenverarbeitung vorliege (vgl. EuGH, ECLI:EU:C:2023:373, ZD 2023, 606 Rn. 54-58). Aber auch für Verstöße gegen einzelne Vorschriften aus dem vierten Kapitel der Datenschutz-Grundverordnung (Art. 24 bis 43 DSGVO) hat der Gerichtshof bereits angenommen, dass ein Schadensersatzanspruch aus Art. 82 DSGVO möglich sei (vgl. zu einem Verstoß gegen Art. 32 DSGVO EuGH, ECLI:EU:2024:72, CR 2024, 160 Rn. 42 f.; ECLI:EU:C:2023:986, NJW 2024, 1091 Rn. 52 f.; für Verstöße gegen Art. 26 und 30 DSGVO ECLI:EU:C:2023:373, ZD 2023, 606 Rn. 66 f.).
c) Derzeit ist beim Gerichtshof eine Vorlage des OGH Österreich (ECLI: AT:OGH0002:2025:0060OB00102.24D.0218.000, BeckRS 2025, 3233) unter anderem mit folgender Frage anhängig:
3. Ist Art 82 Abs 2 DSGVO dahin auszulegen, dass in negativen Folgen für den Betroffenen, die auf einem zeitlich nach der Verarbeitung der personenbezogenen Daten liegenden, allein gegen die Verpflichtung zur Auskunft nach Art 15 Abs 1 DSGVO liegenden Verstoß gegen diese Verordnung beruhen, ein Schaden liegt, der durch „eine nicht dieser Verordnung entsprechende Verarbeitung“ verursacht wurde und die Verpflichtung des Verantwortlichen zur Leistung von Ersatz nach sich zieht?
Ferner ist beim Gerichtshof unter dem Az. C-526/24 eine Vorlage des Amtsgerichts Arnsberg (ECLI:DE:AGAR:2024:0731.42C434.23.00, ABl EU C, C/2024/6410, 04.11.2024) unter anderem mit folgenden Fragen anhängig:
4. Ist Art. 4 Nr. 2 DS-GVO dergestalt auszulegen, dass das Auskunftsersuchen eines Betroffenen gegenüber dem Verantwortlichen gem. Art. 15 Abs. 1 DS-GVO und/oder dessen Beantwortung eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO darstellt?
5. Ist Art. 82 Abs. 1 DS-GVO in Ansehung von Erwägungsgrund 146 Satz 1 DSGVO dahingehend auszulegen, dass lediglich diejenigen Schäden ersatzfähig sind, die dem Betroffenen aufgrund einer Verarbeitung entstehen bzw. entstanden sind? Bedeutet dies, dass für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO - das Vorliegen eines kausalen Schadens des Betroffenen unterstellt - zwingend eine Verarbeitung der personenbezogenen Daten des Betroffenen vorgelegen haben muss?
6. Falls Frage 5 bejaht wird: Führt dies dazu, dass dem Betroffenen - das Vorliegen eines kausalen Schadens unterstellt - allein aus der Verletzung seines Auskunftsrechts nach Art. 15 Abs. 1 DS-GVO kein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zusteht?
3. Für den Fall der Anwendbarkeit der JI-Richtlinie (Vorlagefrage 2 b):
Im Anwendungsbereich der JI-Richtlinie scheint die Rechtslage auf den ersten Blick klarer zu sein. Denn gemäß Art. 56 JI-RL sehen die Mitgliedstaaten vor, dass jede Person, der "wegen einer rechtswidrigen Verarbeitung oder einer anderen Handlung, die gegen nach Maßgabe dieser Richtlinie erlassenen nationalen Vorschriften verstößt, ein materieller oder immaterieller Schaden entstanden ist, Recht auf Schadensersatz" hat. Sollte unter den Begriff der "Handlung" auch ein (zeitweises oder teilweises) Unterlassen fallen, spräche dies dafür, dass auch eine Verletzung des Auskunftsrechts, das in einer Art. 14 JI-RL umsetzenden nationalen Vorschrift (hier: § 57 BDSG) geregelt ist, einen Schadensersatzanspruch unabhängig davon auslösen kann, ob damit Daten rechtswidrig verarbeitet werden. Andererseits ist in ErwG 88 und 51 JI-RL, die den ErwG 146 und DSGVO im Wesentlichen entsprechen, wiederum nur von (Daten-)Verarbeitungen die Rede. Dem Wortlaut nach eng gefasst ist die Umsetzung von Art. 56 JI-RL in § 83 BDSG, wonach eine Schadensersatzpflicht begründet wird, wenn ein Verantwortlicher einer betroffenen Person durch eine rechtswidrige Verarbeitung personenbezogener Daten einen Schaden zufügt. Sollte Art. 56 JI-RL als schadensersatzbegründende Handlung auch die Verletzung der Auskunftspflicht erfassen, wäre § 83 BDSG dementsprechend unionsrechtskonform auszulegen (vgl. BT-Drucks. 18/11325, S. 121 zu § 83; dafür, dass die Nichtbeantwortung eines Auskunftsbegehrens einen Schadensersatzanspruch auslöse, vgl. Gola/Reif in Gola/Heckmann, DSGVO BDSG, 3. Aufl., § 83 BDSG Rn. 8).
III. Zur dritten Vorlagefrage:
Eine ähnliche Frage enthält die oben (II.2.c) erwähnte, beim Gerichtshof unter dem Az. C-526/24 anhängige Vorlage des Amtsgerichts Arnsberg (ECLI: DE:AGAR:2024:0731.42C434.23.00, ABl EU C, C/2024/6410, 04.11.2024):
8. … Stellt allein der mit einem Verstoß gegen Art. 15 Abs. 1 DS-GVO einhergehende Kontrollverlust und/oder die Ungewissheit über die Verarbeitung der personenbezogenen Daten des Betroffenen einen immateriellen Schaden des Betroffenen im Sinne des Art. 82 Abs. 1 DS-GVO dar oder bedarf es darüber hinaus einer weiteren (objektiven oder subjektiven) Einschränkung und/oder (spürbaren) Beeinträchtigung des Betroffenen?
1. Nach ständiger Rechtsprechung des Gerichtshofs zu Art. 82 DSGVO reicht der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr ist darüber hinaus das Vorliegen eines materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß erforderlich, wobei diese drei Voraussetzungen kumulativ sind (vgl. nur EuGH, ECLI:EU:C:2024:827, GRUR-RS 2024, 26255 Rn. 140 mwN). Der Schaden kann nicht allein aufgrund des Verstoßes vermutet werden (EuGH, ECLI: EU:C:2024:827, GRUR-RS 2024, 26255 Rn. 141 mwN).
Auch Art. 56 JI-RL setzt neben dem Verstoß gegen die nach Maßgabe der Richtlinie erlassenen nationalen Vorschriften als eigenständige Voraussetzung einen dadurch entstandenen Schaden voraus. Insofern muss die Person, die auf der Grundlage dieser Bestimmungen Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist.
2. Der Senat geht davon aus, dass die 3. Vorlagefrage in den Anwendungsbereichen der Datenschutz-Grundverordnung und der JI-Richtlinie einheitlich zu beantworten ist, weil die Erläuterungen zum Begriff des Schadens in ErwG 75, 85 und 146 DSGVO mit denen in ErwG 51, 61 und 88 JI-RL im Wesentlichen identisch sind.
a) Gemäß ErwG 146 Satz 3 DSGVO und ErwG 88 Satz 2 JI-RL sollte der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit und in einer Art und Weise ausgelegt werden, die den Zielen der Verordnung bzw. der Richtlinie in vollem Umfang entspricht. Da weder Art. 82 DSGVO noch Art. 56 JI-RL zum Begriff des immateriellen Schadens auf das innerstaatliche Recht der Mitgliedstaaten verweist, ist dieser Begriff autonom unionsrechtlich zu definieren (stRspr zu Art. 82 DSGVO, vgl. nur EuGH, ECLI:EU:C:2024:72, GRUR-RS 2024, 530 Rn. 64 mwN).
b) Gemäß ErwG 75 Satz 1 DSGVO und ErwG 51 Satz 1 JI-RL können Risiken für die Rechte und Freiheiten natürlicher Personen aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, was unter anderem dann der Fall sein kann, "wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren". "Verlust der Kontrolle" der natürlichen Personen über ihre personenbezogenen Daten und "Einschränkung ihrer Rechte" sind als Beispiele für den Schaden auch in ErwG 85 Satz 1 DSGVO und ErwG 61 Satz 1 JI-RL angeführt.
3. Der Gerichtshof hat in seiner jüngeren Rechtsprechung zu Art. 82 DSGVO unter Bezugnahme auf ErwG 85 DSGVO klargestellt, dass schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, ECLI:EU:C:2024:827, GRUR-RS 2024, 26255 Rn. 145, 156 i.V.m. 137). Dabei hat er den Kontrollverlust als Verlust der Hoheit über die Daten der betroffenen Person verstanden (EuGH, ECLI:EU:C:2024:827, GRUR-RS 2024, 26255 Rn. 150).
Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust bestehenden Schaden erlitten hat (vgl. EuGH, ECLI:EU:C:2024:536, DB 2024, 1676 Rn. 33). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (Senatsurteil vom 18. November 2024 - VI ZR 10/24, ECLI:DE:BGH:2024:181124UVIZR10.24.0, BGHZ 242, 180 Rn. 31).
Aber auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezo- genen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, ECLI:EU:C:2024:72, GRUR-RS 2024, 530 Rn. 67). Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, ECLI:EU:C:2024:536, DB 2024, 1676 Rn. 36). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, ECLI:EU: C:2024:536, DB 2024, 1676 Rn. 35; EuGH, ECLI:EU:C:2024:72, GRUR-RS 2024, 530 Rn. 68).
4. Diese Rechtsprechung wirft für die Geltendmachung von Schadensersatzansprüchen wegen Verletzung des Auskunftsrechts nach Art. 15 DSGVO bzw. nach den nach Maßgabe des Art. 14 JI-RL erlassenen nationalen Vorschriften Fragen auf:
a) Werden Auskünfte über die Verarbeitung personenbezogener Daten nicht, nicht rechtzeitig oder nicht vollständig erteilt, bleiben die Auskunftsberechtigten (jedenfalls vorerst bzw. teilweise) im Ungewissen über die Verarbeitung der sie betreffenden personenbezogenen Daten und deren Rechtmäßigkeit. Damit zwangsläufig einhergehend sind sie - bei Zugrundelegung des Wortlauts der ErwG 75 Satz 1 DSGVO und 51 Satz 1 JI-RL - (jedenfalls vorerst oder teilweise) "daran gehindert, die sie betreffenden personenbezogenen Daten zu kontrollieren." Daraus folgt weiter, dass sie etwaige Rechte z.B. aus Art. 16 bis 18 und Art. 21 DSGVO (bzw. aus den auf Art. 16 JI-RL beruhenden nationalen Vorschriften) nicht oder nur erschwert geltend machen können. Sie könnten so "um ihre Rechte und Freiheiten gebracht" sein, wie es in ErwG 75 Satz 1 DSGVO und 51 Satz 1 JI-RL heißt. Ebenso könnten sich die beiden genannten Aspekte unter die Begriffe "Kontrollverlust" und "Einschränkung ihrer Rechte" im Sinne von ErwG Satz 1 DSGVO und ErwG 61 Satz 1 JI-RL subsumieren lassen. Teilweise wird bereits damit der Eintritt eines immateriellen Schadens begründet (LAG Niedersachsen, ECLI:DE:LAGNI:2021:1022.16SA761.20.00, juris Rn. 229; ArbG Neumünster, ECLI:DE:ARBGNMS:2020:0811.1CA247C.20.0A, ZD 2021, 171 Rn. 38; ArbG Düsseldorf, ECLI:DE:ARBGD:2020:0305.9CA6557.18.00, ZD 2020, 649 Rn. 84; Brandt/Goffart, NZA 2024, 240, 242; Franck in Gola/Heckmann, DSGVO BDSG, 3. Aufl., Art. 15 DSGVO Rn. 72; weitere Nachweise zum Streitstand: Dix in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., Art. 15 DSGVO Rn. 39 mit Fn. 258).
b) Gegen eine solche weite Auslegung wird - aus Sicht des Senats zu Recht - eingewandt, dass eine Ungewissheit und ein "Kontrollverlust", der darin besteht, dass mangels (vollständiger) Auskunft eine Überprüfung der Datenverarbeitung nicht oder nur teilweise möglich ist und die Ausübung etwaiger Rechte nach Art. 16-18, 21 DSGVO (bzw. Art. 16 JI-RL) unmöglich gemacht oder erschwert wird, mit jeder Verletzung des Auskunftsanspruchs einhergehen. Das würde bedeuten, dass sich mit jedem Verstoß gegen die Auskunftspflicht zugleich auch ein Schaden begründen ließe. Damit würde der Eintritt eines Schadens als eigenständige, zu dem Verstoß hinzukommende Voraussetzung für einen Schadensersatzanspruch aber bedeutungslos (BAG, ECLI:DE:BAG:2025: 200225.U.8AZR61.24.0, juris Rn. 21; ECLI:DE:BAG:2024:171024. U.8AZR215.23.0, DB 2025, 469 Rn. 16; ECLI:DE:BAG:2024:200624. U.8AZR124.23.0, DB 2024, 2837 Rn. 18; ECLI:DE:BAG:2024:200624. U.8AZR91.22.0, DB 2024, 3114 Rn. 18; LAG Düsseldorf, ECLI:DE:LAGD: 2024:0807.4SLA235.24.00, juris Rn. 34; ähnlich LAG Düsseldorf, ECLI: DE:LAGD:2024:0307.11SA808.23.00, juris Rn. 45). Trage der Betroffene zur Begründung des immateriellen Schadens lediglich vor, ihm sei die Prüfung verwehrt, ob und vor allem wie der Verantwortliche seine personenbezogenen Daten ver- arbeite, lege er lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung dar. Auch das bloße Berufen auf negative Gefühle in Form einer Befürchtung der missbräuchlichen Datenverwendung reiche nicht aus. Vielmehr müsse die Befürchtung nach objektiven Maßstäben begründet sein, wobei insbesondere das objektive Risiko eines Missbrauchs in den Blick zu nehmen sei (vgl. BAG, ECLI:DE:BAG:2025:200225.U.8AZR61.24.0, juris Rn. 17; ECLI:DE: BAG:2024:200624.U.8AZR91.22.0, DB 2024, 3114 Rn. 19 f.; LAG Düsseldorf, ECLI:DE:LAGD:2024:0807.4SLA235.24.00, juris Rn. 35 f.; ähnlich BSG, ECLI: DE:BSG:2024:240924UB7AS1523R0, ZD 2025, 110 Rn. 32; LAG Düsseldorf, ECLI:DE:LAGD:2023:1128.3SA285.23.00, ZIP 2024, 1495, 1498, juris Rn. 49 ff.; LAG Baden-Württemberg, ECLI:DE:LAGBW:2023:0727.3SA33.22.00, NZA-RR 2023, 511 Rn. 64.; kritisch auch Bienemann in Sydow/Marsch, DSGVO/BDSG, 3. Aufl., Art. 15 DSGVO Rn. 77; Fuhlrott/Fischer, NZA 2023, 606, 610). Der Verstoß gegen Art. 15 DSGVO begründe auch dann für sich genommen keinen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO, wenn die (zunächst) verweigerte Auskunftserteilung der Durchsetzung von Rechten entgegenstehe, denn dies stehe in keinem Zusammenhang mit dem Zweck des Schadenersatzanspruchs, dem nur eine Ausgleichsfunktion und nicht eine Abschreckungs- oder Straffunktion zukomme (BAG, ECLI:DE:BAG:2025:200225.U.8AZR61.24.0, juris Rn. 24 mwN).
c) Aus Sicht des Senats bedarf es zudem einer näheren Prüfung, ob die notwendige Kausalität zwischen der Verletzung des Auskunftsrechts und dem geltend gemachten Schaden besteht. Durch das Unterbleiben der Auskunft wird (anders als etwa durch ein Datenleck oder die Weitergabe von Daten an nicht berechtigte Dritte) jedenfalls kein Kontrollverlust in dem Sinne verursacht, dass unbefugte Dritte Zugriff auf personenbezogene Daten erhalten. Durch die unterbliebene Auskunft verschlechtert sich die Sicherheit der Daten nicht unmittelbar (BAG, ECLI:DE:BAG:2024:200624.U.8AZR91.22.0, DB 2024, 3114 Rn. 19). Die kausale Verknüpfung zwischen der Verletzung des Auskunftsrechts und dem immateriellen Schaden lässt sich erst dann herstellen, wenn das Unterbleiben der Auskunft zu der berechtigten (objektiv nachvollziehbaren) Befürchtung führt, dass die Daten nicht rechtmäßig verarbeitet wurden.
5. Die Entscheidung des Senats über die Revision des Klägers hängt von der Beantwortung auch dieser Vorlagefrage ab. Der Kläger hat seinen immateriellen Schaden infolge der Verletzung seines Auskunftsrechts insbesondere mit seiner Ungewissheit darüber, in welchem Umfang seine Daten verarbeitet wurden, einem damit einhergehenden "Kontrollverlust" und einer Einschränkung möglicherweise bestehender Rechte (z.B. auf Löschung) begründet. Damit ließe sich nach der vom Senat präferierten Ansicht ein Schaden nicht begründen. Dasselbe gilt für die pauschale Behauptung des Klägers, wegen der unterbliebenen Auskunft habe er "Stress" und "Sorge" hinsichtlich des Umfangs der Datenverarbeitung gehabt. Anhaltspunkte, die die Befürchtung eines Datenmissbrauchs oder sonst einer rechtswidrigen Datenverarbeitung hätten begründen können, bestanden nach den den Senat bindenden Feststellungen des Berufungsgerichts zu keinem Zeitpunkt und wurden vom Kläger auch nicht vorgetragen.
Seiters Müller Allgayer Böhm Linder Vorinstanzen: LG Hamburg, Entscheidung vom 01.08.2022 - 336 O 16/22 OLG Hamburg, Entscheidung vom 09.02.2023 - 1 U 104/22 -