rauf

Wie können wir Ihnen weiterhelfen?

+49 (0) 221 / 97 31 43 - 0

Sie brauchen rechtliche Beratung? Dann rufen Sie uns an für eine unverbindliche und kostenlose Ersteinschätzung. Bundesweit!

info@werner-ri.de

Gerne können Sie uns Ihr rechtliches Anliegen per E-Mail schildern. Sie erhalten zeitnah eine unverbindliche und kostenlose Ersteinschätzung von uns.
Sie sind hier: Startseite / Rechtsnews

Die Gerichte zur DS-GVO - Teil I, Kein Schadensersatz ohne Schaden

Die Rechtsprechung in Sachen Datenschutzrecht mehrt sich wie erwartet: In den vergangenen Monaten haben sich sowohl viele Unternehmen als Verantwortliche nach der Datenschutz-Grundverordnung (nachfolgend „DS-GVO“) als auch die Gerichte mit der Frage beschäftigt: Steht einer natürlichen Person, deren personenbezogene Daten nicht im Einklang mit der DS-GVO verarbeitet wurden, ein Schadensersatzanspruch zu?

Den Volltext der beiden entscheidungen finden Sie hier:

- LG Hamburg (24. Zivilkammer), Urteil vom 04.09.2020, Az. 324 S 9/19 - PDF-Datei

- LG Frankfurt a.M., Urteil vom 18.09.2020, Az. 2-27 O 100/20 - PDF-Datei

1.    Fragestellung: Schadensersatz nur beim Schaden?

Die Antwort auf diese Frage ist nicht lediglich rechtlich spannend, sondern kann gravierende Auswirkungen auf die verantwortlichen Unternehmen nach der DS-GVO haben. Sollten die Gerichte eine Schadensersatzpflicht ohne Vorliegen eines „echten“ (materiellen oder immateriellen) Schadens bei Verletzungen gegen den Datenschutz befürworten, müssten die Verantwortlichen mit einer nicht geringen Anzahl an Forderungen von möglichen betroffenen Personen rechnen, welche vielleicht auf der Suche nach schnellem Verdienst sind. Die aktuelle Rechtsprechung zeigt allerdings, dass einige Gerichte diese Gefahr erkannt haben und Schadensersatzforderungen nur beim Vorliegen eines materiellen Schadens zusprechen.

2.    Kein Schmerzensgeld nach Urteil des Landgerichts Hamburg

Das LG Hamburg hat als II. Instanz (Berufungs-Urteil vom 04.09.2020, Az. 324 S 9/19) das Urteil des Amtsgerichts Hamburg-Barmbek vom 15.11.2019, Az. 821 C 206/18, bestätigt und lehnte den Anspruch der Klägerin auf Schmerzensgeld nach Art. 82 DS-GVO ab. Das Urteil ist rechtskräftig.

a)    Wer will was von wem?

Die Klägerin verlangte von dem beklagten Unternehmen unter anderem die Zahlung von Schmerzensgeld in Höhe von 1.500,-- € nach Art. 82 DS-GVO.

Das beklagte Unternehmen hat die Daten der Klägerin durch die Erfassung im Terminformular für Tattoos seiner Webseite verarbeitet und durch eine öffentliche Freischaltung verbreitet. In die Verbreitung ihrer Daten hat die Klägerin nicht eingewilligt. Die Daten der Klägerin waren ca. sechs Wochen im Internet verfügbar, allerdings nur dann wahrnehmbar, wenn jemand gezielt danach gesucht hätte. Der Beklagte beseitigte die Offenlegung der Daten unmittelbar, nachdem er dies erkannte. Die Klägerin behauptet einen etwaigen Eintritt von Nachteilen durch die Datenveröffentlichung nicht, sondern befürchtet andere Nachteile, wie z.B. Identitätsdiebstahl.

b)    Bloß nicht konkrete, befürchtete Nachteile für eine Schadensersatzpflicht nicht ausreichend

Das LG Hamburg lehnte einen Anspruch auf Schadensersatz mit der zutreffenden und überzeugenden Begründung ab, dass für die Zubilligung eines Schadensersatzanspruchs es des tatsächlichen Eintritts eines Schadens bedarf. Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Schadensersatzpflicht des Verantwortlichen nach der DS-GVO.

Hierzu das LG Hamburg in Randnummern 37 bis 39 des Urteils:

Für die Zubilligung eines Schadensersatzanspruchs bedarf es des Eintritts eines Schadens. Diesen hat die Klägerin weder dargelegt noch ist er sonst ersichtlich. Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe, Urteil vom 02.08.2019, Az. 8 O 26/19 = ZD 2019, 511). Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DS-GVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe a.a.O.).

Nach dem ErwG 146 DS-GVO ist der Begriff des Schadens weit auszulegen, so dass Betroffene einen wirksamen Ersatz erhalten. ErwG 85 DS-GVO besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird.

Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13). Dennoch führt nicht bereits jeder Verstoß gegen die DS-GVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe a.a.O.).

Eine solche „Bloßstellung“ ist vorliegend allerdings nicht erfolgt. Die Daten seien weder geheim noch intim, was einen erhöhten Schutz begründen könnte. Die Tattoo-Vorhaben genössen dann erhöhten Schutz, wenn sie nicht, zumindest im Sommer, zum einen jederzeit sichtbar und zum anderen als Blumen und Pflanzen auch nicht verfänglich seien. Ferner hat die Klägerin den Eintritt von Nachteilen nicht behauptet, sondern lediglich vorgetragen, dass sie Nachteile befürchte. Dies reicht nicht für den Vortrag eines Schadens aus.

3.    Kein Schadensersatz nach Urteil des Landgerichts Frankfurt a.M.

In diesem erstinstanzlichen Urteil (Frankfurt a.M., Urteil vom 18.09.2020, Az. 2-27 O 100/20) musste das Gericht entscheiden, wie es sich mit dem Schadensersatz bei sog. Datenleaks verhält.

a)    Wer will was von wem?

Der Kläger ist eine Privatperson, welche eine Mastercard hatte und an einem Bonusprogramm der beklagten Mastrecard Europe SA. teilnahm. Inhaber einer in Deutschland ausgestellten Mastercard konnten sich hierfür unter Angabe persönlicher Daten wie Name, E-Mail-Adresse, Geburtsdatum und Mastercard-Kartennummer im Internet registrieren, um bei Bezahlvorgängen mit ihrer Mastercard Treuepunkte zu sammeln. Diese konnten später gegen Prämien eingelöst werden. Die für den Betrieb des Bonusprogramms erstellte Plattform war physisch und logisch vom Zahlungsnetzwerk der Beklagten getrennt. Nach einem Sicherheitsvorfall beauftragten die Beklagte und ihr Auftragsverarbeiter eine IT-Sicherheitsfirma mit der Überprüfung der Firewall. Noch vor Abschluss der Prüfung kam es zu einem nicht genau konkretisierbaren Zeitpunkt zu einem Datenvorfall, bei dem unbekannte Täter die im Rahmen des Bonusprogramms erhobenen Daten von etwa 90.000 Teilnehmern im Internet öffentlich zugänglich machten. Es kamen am 19.08.2019 zwei unterschiedliche Listen in Umlauf, wobei in einer der Listen die vollständige Kartennummer u.a. des Klägers veröffentlicht war. Die Ablaufdaten und Sicherheitscodes (CVC) von Kreditkarten waren nicht betroffen. Technisch erfolgte die Veröffentlichung dergestalt, dass die Daten von einem Träger unter Kontrolle der Beklagten auf einen Webserver kopiert wurden, der diese für die Öffentlichkeit weltweit abrufbar machte.

Am 22.08.2019 kontaktierte die Beklagte die betroffenen Kunden, u.a. den Kläger, und warnte vor Missbrauch. Jedenfalls am 29.08.2019 war die Seite des Bonusprogramms aufgrund einer Sicherheitsüberprüfung kurzzeitig erreichbar. Hinweise auf einen Datenmissbrauch gab es nicht.

Der Kläger macht mehrere Schadensersatzansprüche in unterschiedlicher Höhe gelten. In dieser Urteilsbesprechung beschränken wir uns auf den hier relevanten Schadensersatzanspruch in Höhe von 700,-- €. Der Kläger stützte diesen Anspruch darauf, dass seine Daten nach dem 19.08.2019 noch verfügbar gewesen seien und jedenfalls während eines IT-Checks am 29.08.2019 jedermann habe auf sie zugreifen können.

Zum Verständnis: Das Gericht bejahte einen entstandenen Schaden wegen der ursprünglichen Veröffentlichung der Daten am 19.08.2019. Ein Schadensersatzanspruch diesbezüglich scheiterte aber an der nicht bewiesenen Verletzung der DS-GVO.

b)    Kein Schadensersatz ohne Schaden

Das LG Frankfurt a.M. lehnte einen Schadensersatzanspruch ab. Es ließ offen, ob überhaupt ein Verstoß gegen die DS-GVO vorlag und stellte fest, dass dem Kläger jedenfalls ein Schaden nicht entstanden sei. Der Kläger habe nicht behauptet, dass nach dem 19.08.2019 seine Daten nochmals veröffentlicht worden seien oder sie von Unbefugten etwa während des Checks tatsächlich zur Kenntnis genommen wurden. Und weiter:

Denn nicht jede Datenschutzrechtverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung ist automatisch ein ersatzfähiger Schaden. Vielmehr muss die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben. Eine weite Auslegung des Schadensbegriffs nach Art. 82 DS-GVO, nach dem mit jedem Verstoß ein Schaden begründet wird, widerspricht der Systematik des deutschen Rechts. Die mitgliedsstaatlichen Gerichte sind zu einem überkompensatorischen Strafschadensersatz grundsätzlich nicht verpflichtet; nach dem Äquivalenzgrundsatz wäre ein solcher nur dann erforderlich, wenn die mitgliedstaatliche Rechtsordnung allgemein Strafschadensersatz vorsieht (Wytibul, a.a.O.). Das ist jedoch in Deutschland nicht der Fall.

5.    Ausblick

Die dargestellte Entwicklung der Rechtsprechung ist zu begrüßen. In der Praxis muss bei jedem Schadensersatzbegehren eines Betroffenen im ersten Schritt ein datenschutzrechtlicher Verstoß gegen die DS-GVO geprüft und festgestellt werden. Sodann, in einem zweiten Schritt, geht es um den Schaden, um dessen Entstehen, Kausalität und schließlich Höhe. Insbesondere darf der Schaden nicht lediglich befürchtet werden oder für möglich gehalten werden, sondern muss eingetreten sein (oder konkret bevorstehen).

Wir werden die Entwicklung der DS-GVO-Rechtsprechung in unseren nachfolgenden Artikeln im Auge behalten und für Sie darstellen.

Autorin: RAin Kristina Dimitrova LL.M.