Urteile zum Schadensersatzanspruch bei Datenschutzverletzungen
Die DS-GVO räumt Betroffenen in Art. 82 die Möglichkeit ein, für Datenschutzverletzungen Schadensersatzansprüche gegen den verantwortlichen Datenverarbeiter geltend zu machen. Umfasst sind hiervon sowohl materielle als auch immaterielle Schäden. Nach anfänglicher Zurückhaltung neigen deutsche Gerichte immer mehr dazu, für DS-GVO-Verstöße vergleichsweise hohes Schmerzenzgeld zuzusprechen. Nach dem Datenschutzrecht soll dem Betroffenen nicht nur der erlittene Schaden ersetzt werden, sondern es soll auch eine abschreckende Wirkung erzielt werden. Wie hoch der Schadensersatz im Einzelfall ausfällt, liegt im Ermessen der Richter.
Fallbeschreibung
Ein Betroffener kaufte bei einem Elektronikfachhändler ein Haushaltsgerät. Bei der Warenausgabe kam es durch das Vordrängeln eines anderen Kunden allerdings zu einer Verwechslung, sodass dem anderen Kunden die Ware inkl. Kauf- und Kreditvertragsunterlagen des Betroffenen ausgehändigt wurden. Die Verwechslung wurde zwar schnell bemerkt und der Betroffene erhielt die Ware inkl. der Vertragsunterlagen nach circa einer halben Stunde zurück. Dennoch verlangte er von dem Elektronikfachhändler immateriellen Schadensersatz nach Art. 82 DS-GVO. Das angerufene Amtsgericht (AG) Hagen wendete sich im Laufe des Verfahrens mit einigen Vorlagefragen zur Auslegung der DS-GVO an den EuGH.
Entscheidung des EuGH
Der EuGH stellte in seinem Urteil fest, dass der betroffenen Person für die Begründung eines Schadensersatzanspruchs ein nachweisbarer Schaden entstanden sein muss, der aus einer Datenschutzverletzung resultiert. Ein ungutes Gefühl oder ein hypothetisches Risiko allein sind nicht ausreichend, um einen immateriellen Schaden zu begründen, wenn ein Datenmissbrauch nachweislich ausgeschlossen werden kann.
(EuGH, Urteil v. 15.01.2024, Az. C-687/21)
Mehr Informationen zu dem Urteil finden Sie auch in unserem Artikel „EuGH: Ungutes Gefühl ist kein immaterieller Schaden“.
Es liegt nicht im Ermessen eines deutschen Amtsgerichts (AG), ob der Schadensersatzanspruch eines Betroffenen wegen einer unzulässigen Werbe-E-Mail als Bagatelle eingestuft und abgelehnt wurde. Eine solche Auslegung des Art. 82 DS-GVO obliegt ausschließlich dem EuGH. Deshalb hätte das AG den Anspruch des Klägers nicht ablehnen dürfen, sondern die Frage dem EuGH weiterleiten müssen. Das BVerfG hob mit seinem Beschluss das Urteil des AG Goslar vom 27.09.2019 (Az. 28 C 7/19) auf.
(Az.: 1 BvR 28531/19)
Fallbeschreibung
Ein Bankkunde führte bei der Barclays Bank ein Kreditkartenkonto. Nach der Kündigung dieses Kontos forderte die Barclays Bank noch einen Betrag i. H. v. 1475,52 Euro. Diese Forderung bestritt der Kunde gegenüber der Bank, was diese jedoch nicht davon abhielt, die angebliche Forderung als Negativeintrag an die SCHUFA zu melden. Gegen diesen Eintrag ging der Kunde mit anwaltlicher Hilfe vor. Daraufhin löschte die SCHUFA diesen Eintrag. Vier Monate später meldete die Barclays Bank diesen Betrag erneut als Negativeintrag bei der SCHUFA. Infolgedessen wurde dem Kunden von seiner Hausbank die Kreditkarte gesperrt und ein angefragter Kredit wurde wegen dieses Negativeintrags nicht genehmigt. Auch gegen diesen Eintrag ging der Kunde mit anwaltlicher Hilfe vor und auch dieser Eintrag wurde von der SCHUFA gelöscht. Da eine außergerichtliche Forderung des Mannes auf Zahlung eines Schadensersatzes durch die Barclays Bank nicht angenommen wurde, klagte er schließlich auf Zahlung von immateriellem Schadensersatz gem. Art. 82 DS-GVO.
Entscheidung des OLG Hamburg
In erster Instanz sprach das Landgericht (LG) Hamburg (Urteil v. 19.04.2023, Az.: 318 O 56/22) dem Kläger 2000 Euro Schadensersatz zu, da der Negativeintrag rechtswidrig war und beide Meldungen an die Schufa Holding AG nicht hätten erfolgen dürfen. Da der erlittene Schaden aus Sicht des Klägers jedoch höher lag, legte dieser schließlich Berufung ein. Das Oberlandesgericht (OLG) Hamburg sprach dem Mann schließlich 4000 Euro Schadensersatz zu, da dieser aufgrund des Negativeintrags und durch die Darstellung als unzuverlässiger Schuldner in seinem sozialen Ansehen beeinträchtigt wurde und dies bereits für sich einen erheblichen Nachteil darstellt. Schadensersatzerhöhend wirkte sich aus, dass der Betroffene weitere negative Konsequenzen aufgrund des nicht gewährten Kredits und der Sperrung der Kreditkarte erlitten hat. Das Gericht stellte zudem fest, dass die Barclays Bank ihre Pflichten aus der DS-GVO jedenfalls unter billigender Inkaufnahme verletzt hat.
(OLG Hamburg, Urteil. v. 10.10.2023, Az.: 13 U 70/23)
Fallbeschreibung
Im Rahmen einer Datenpanne bei Meta wurden Nutzerdaten von 500 Millionen Facebook-Nutzern abgegriffen. Dieses Abgreifen erfolgte durch das sog. Scraping – automatisierte Anfragen, die dazu führen, dass eigentlich nicht offen sichtbare Daten gelesen werden können. Dabei wurden personenbezogene Daten wie Mobiltelefonnummer, Vor- und Nachname sowie die Angabe des Geschlechts erbeutet. Genau diese Daten tauchten dann in den Jahren 2019 und 2021 im Darknet auf. Eine betroffene Nutzerin klagte daraufhin auf Zahlung von 1000 Euro Schadensersatz.
Entscheidung des OLG Hamm
Nachdem ihre Klage beim Landgericht (LG) Bielefeld (Urteil v. 19.12.2022, Az.: 8 O 157/22) keinen Erfolg hatte, legte die Frau Berufung beim Oberlandesgericht (OLG) Hamm ein. Aber auch diese Klage hatte keinen Erfolg. Das Gericht stellte fest, dass die Klägerin immateriellen Schadensersatz geltend gemacht hat, was nach Art. 82 DS-GVO grundsätzlich möglich ist. Die Klägerin konnte aber keinen konkreten immateriellen Schaden darlegen – es war weder eine persönliche noch eine psychologische Beeinträchtigung eingetreten. Sie machte lediglich ein Gefühl der Erschrockenheit geltend, was jedoch für einen solchen Schadensersatzanspruch nicht ausreicht. Mit dieser Entscheidung schloss sich das Gericht der aktuellen Rechtsprechung des Europäischen Gerichtshofs (EuGH) zum immateriellen Schadensersatz (Urteil v. 04.05.2023, Az.: C 300/21) an.
(OLG Hamm, Urteil v. 15.08.2023, Az.: 7 U 19/23)
Fallbeschreibung
Die spätere Klägerin hatte einen Rechtsanwalt mit der Verfolgung ihrer Ansprüche in einem Verkehrsunfall beauftragt. Nachdem sie den Anwaltsvertrag gekündigt hatte, verlangte sie Datenauskunft zum Mandatskonto und der E-Mail- bzw. WhatsApp-Kommunikation. Diese Auskunft erhielt sie jedoch erst nach 8 Monaten. Die Frau gab an, durch die stark verspätete Datenauskunft psychisch belastet gewesen zu sein, da für sie nicht absehbar war, ob sie das Verfahren im Zusammenhang mit dem Verkehrsunfall mit einem neuen Anwalt noch erfolgreich beenden könne. Daher verklagte die Frau den Rechtsanwalt und verlangte einen Schadensersatz von mindestens 1.000 Euro.
Entscheidung des OLG Köln
Nachdem das Landgericht (LG) Bonn zwar einen Verstoß gegen die Auskunftspflicht nach Art. 15 DS-GVO festgestellt, einen Anspruch auf Schadenersatz jedoch abgelehnt hatte, sprach das Oberlandesgericht (OLG) Köln der Frau einen Schadensersatz in Höhe von 500 Euro zu. Die Richter urteilten, dass eine verspätete Datenauskunft dazu geeignet ist, einen Schadenersatzanspruch wegen eines immateriellen Schadens nach Art. 82 DS-GVO auszulösen. Sie begründeten dies damit, dass die Klägerin „für eine nicht unerhebliche Dauer daran gehindert war, das Unfallverfahren mit ihrem neuen Anwalt voranzutreiben“. Bei der Festlegung des Schadenersatzanspruchs in Höhe von 500 EUR wurde schadensmindernd berücksichtigt, dass sich die Datenauskunft auch durch eine Erkrankung des Anwalts verzögert hatte.
(OLG Köln, Urteil v. 14.07.2022, Az.: 15 U 137/21)
Fallbeschreibung
Eine Kundin eines Telekommunikationsunternehmens schloss einen neuen Mobilfunkvertrag ab und beendete gleichzeitig ihren bisherigen Vertrag beim gleichen Anbieter. Ihren neuen Mobilfunkvertrag widerrief die Frau später. Wegen nicht ausgeglichener Rechnungen meldete das Telekommunikationsunternehmen die Frau bei der SCHUFA. Nach einem erfolglosen Mahnverfahren klagte der Mobilfunkanbieter auf Zahlung, die Frau verlangte im Gegenzug Schadensersatz nach Art. 82 DS-GVO. i. H. v. 6.000 Euro, da ihre Hausbank wegen der SCHUFA-Einträge Kreditverhandlungen abgebrochen hätte.
Entscheidung des OLG Koblenz
Nachdem das zunächst zuständige Amtsgericht den Fall aufgrund der Widerklage i. H. v. 6.000 Euro an das zuständige Landgericht abgegeben hatte, entschied dieses zugunsten des Mobilfunkanbieters. Die nun folgende Berufung der Frau vor dem Oberlandesgericht (OLG) Koblenz hatte aber schließlich Erfolg. Zunächst wurde festgestellt, dass die Frau ihren neuen Mobilfunkvertrag wirksam widerrufen hatte. Daher standen dem Telekommunikationsanbieter keine Forderungen zu. Die Meldung an die SCHUFA erfolgte demnach zu Unrecht und stellte einen Verstoß gegen Art. 5, 6 DS-GVO i. V. m. Art. 4 Nr. 2 DS-GVO dar. Das Gericht sprach der Betroffenen schließlich einen Schadensersatz für einen immateriellen Schaden i. H. v. 500 Euro zu und entschied, dass auch bei niedrigen Beträgen, wie hier, die abschreckende Wirkung trotzdem gegeben ist.
(OLG Koblenz, Urteil v. 18.05.2022, Az.: 5 U 2141/21)
Fallbeschreibung
Ein Mann war Kunde bei einer Bank. Beim Versand von seinen Kontoabschlüssen kam es zu einer Datenpanne, als die Bank die Kontoabschlüsse des Kunden fälschlicherweise an einen Dritten übersandte. Gleichzeitig meldete die Bank der SCHUFA die Adresse des Dritten auch noch als ehemalige Adresse des späteren Klägers, was unzutreffend war.
Entscheidung des OLG Frankfurt a. M.
Das Oberlandesgericht (OLG) Frankfurt a. M. sprach dem Mann wegen beider Fehler der Bank Schadensersatz nach Art. 82 DS-GVO i. H. v. 500 Euro zu. Das Gericht führte aus, dass der Mann durch das fehlerhafte Handeln der Bank einen immateriellen Schaden erlitten hatte. Dies begründeten die Richter damit, dass beim Kläger eine spürbare Beeinträchtigung seines durch die DS-GVO geschützten Rechts an den eigenen personenbezogenen Daten entstanden ist. Nämlich durch die Weiterleitung des Kontoabschlusses an den Dritten und die begründete Befürchtung des Klägers, dass es erneut zu einer Datenpanne kommt. Ende Januar/Anfang Februar 2019 hatte der Mann in seinem Online-Zugang einen eingestellten Kontoauszug mit der Adresse des Dritten und die Meldung einer unzutreffenden ehemaligen Adresse zu seinem SCHUFA-Profil. Bezüglich der Höhe des Schadensersatzes stellte das Gericht fest, dass 500 Euro ausreichend und angemessen sind, denn der eingetretene Schaden war eher am unteren Rand möglicher Beeinträchtigungen des Persönlichkeitsrechts des Mannes und seiner Rechte nach Art. 6 DS-GVO anzusiedeln.
(OLG Frankfurt a. M., Urteil v. 14.04.2022, Az.: 3 U 21/20)
Fallbeschreibung
Ein Besitzer einer Eigentumswohnung erhielt eine Einladung zu einer Eigentümerversammlung, der eine Tagesordnung beigefügt war. In einem Tagesordnungspunkt berichtete die Hausverwaltung über den Befall von Legionellen im Trinkwasser und nannte in diesem Zusammenhang den Kläger auch namentlich, da in dessen Wohnung ein Befund vorlag. Durch dieses Vorgehen sah sich der Mann in seinen Rechten verletzt und gab an, dass ein geplanter Wohnungsverkauf nicht mehr vollzogen werden konnte, da der Käufer wegen des Legionellen-Befalls abgesprungen sei. Er verlangte insgesamt eine Geldentschädigung i. H. v. 7.000 Euro, da die Nachricht an ca. 70 Miteigentümer verschickt worden war und er 100 Euro pro Adressaten ansetzte. Zusätzlich verklagte er auch den externen Datenschutzbeauftragten der Hausverwaltung.
Entscheidung des OLG München
Die Klage des Mannes hatte in der ersten Instanz vor dem Landesgericht (LG) Landshut (Urteil v. 05.11.2020, Az.: 51 O 513/20) bereits keinen Erfolg, da nach Ansicht des Gerichts keine Datenschutzverletzung vorgelegen habe. Die Benennung des Klägers in der Tagesordnung sei sachlich gerechtfertigt gewesen. Die anderen Wohnungseigentümer haben nach §§ 13, 14 WEG einen Anspruch darauf zu erfahren, in welchen Wohnungen eine Legionellenprüfung vorgenommen wurde und ob und in welchem Umfang es insoweit einen Legionellen-Befall gegeben hat.
Die Richter des Oberlandesgerichts (OLG) München verneinten ebenfalls eine Datenschutzverletzung. Sie führten aus, dass die Angabe der Namen der einzelnen Eigentümer in der verschickten Tagesordnung sehr wohl erforderlich war. Denn nur so konnte die Hausverwaltung sicherstellen, dass die eingeladenen Miteigentümer über alle erforderlichen Informationen verfügten, um eine Aussprache und Beschlussfassung vollständig durchführen zu können. Außerdem war es wichtig zu erfahren, welcher Teilnehmer der Eigentümerversammlung von dem Legionellen-Befall betroffen war. Denn erst dadurch konnten die anderen Miteigentümer die einzelnen Redebeiträge zutreffend einordnen und Nachfragen an die betroffenen Eigentümer stellen. Dies betrifft beispielsweise den Umfang der Arbeiten in den betroffenen Wohnungen oder an den im Sondereigentum stehenden Wasserarmaturen oder zu angekündigten Mietminderungen des betroffenen Mieters. Außerdem bestand die Möglichkeit, mit den betroffenen Eigentümern über etwaige Ansprüche der Miteigentümergemeinschaft oder die Verteilung der entstandenen und noch anfallenden Kosten zu diskutieren. Die Klage gegen den externen Datenschutzbeauftragten der Hausverwaltung hatte ebenfalls keinen Erfolg, da dieser nicht Verantwortlicher nach Art. 4 Nr. 7 DS-GVO ist und folglich auch keine Pflichten verletzt hat.
(OLG München, Urteil v. 27.10.2021, Az.: 20 U 7051/20)
Fallbeschreibung
Ein Mann war als freier Mitarbeiter für ein Maklerbüro tätig. Während und nach dem Auslaufen des befristeten Anstellungsverhältnisses war ein Lichtbild des Mannes unter Nennung seines Namens im Zusammenhang mit dem Unternehmen im Internet abrufbar. Für seine Tätigkeit als Makler wurde ihm ein geleaster Pkw zur Nutzung überlassen. Bezüglich der Kosten dieses Pkw und einer fraglichen Maklerprovision, die der Mann dagegen aufgerechnet haben wollte, kam es schließlich zu einer Klage. Im Zusammenhang mit diesem Zahlungsanspruch machte der Mann vor dem Landgericht (LG) Potsdam (Urteil v. 02.09.2020, Az.: 1 O 241/18) im Wege der Widerklage einen Entschädigungsanspruch nach Art. 82 Abs. 1 DS-GVO wegen der Veröffentlichung seines Fotos nach Beendigung des Mitarbeiterverhältnisses geltend.
Entscheidung des OLG Brandenburg
Nachdem ihm bereits das LG keinen Schadensersatzanspruch wegen Verletzung des Rechts am eigenen Bild zugesprochen hat, legte er Berufung beim Oberlandesgericht (OLG) Brandenburg ein. Die Berufung hatte aber ebenfalls keinen Erfolg. Die Richter stellten fest, dass beim Kläger kein konkreter Schaden entstanden ist und er einen solchen nicht beweisen konnte. Denn bis zur Beendigung des Dienstverhältnisses konnte von einer stillschweigenden Einwilligung des Beklagten zur Veröffentlichung seines Lichtbilds und Namens als deren freier Mitarbeiter ausgegangen werden. Die Löschung seines Fotos erfolgte zwar verspätet, aber sein pauschaler Hinweis, dass ihm durch die verspätete Löschung seines Fotos für seine Tätigkeit als Makler Nachteile erwachsen sind, führt nicht dazu, ihm hierfür einen Schadensersatz zuzusprechen. Zusätzlich erklärten die Richter, dass sich aus Art. 82 Abs. 3 DS-GVO i. V. m. Erwägungsgrund Nr. 146 Satz 2 DS-GVO keine Beweislastumkehr zu Lasten des Verantwortlichen für das Vorliegen eines Schadens ergibt. In diesem Zusammenhang wird nämlich ausschließlich auf die Verantwortlichkeit für die Umstände, die den Schaden herbeigeführt haben, nicht aber auf den Schaden selbst abgestellt.
(OLG Brandenburg, Beschluss v. 11.08.2021, Az. 1 U 69/20)
Fallbeschreibung
Eine Frau war bei einer gesetzlichen Krankenkasse versichert. Um für eine private Krankenversicherung die Gesundheitsfragen korrekt beantworten zu können, verlangte sie von ihrer Krankenkasse telefonisch die Zusendung ihrer Gesundheitsakte der letzten drei Jahre per E-Mail. Bei der Erfassung der E-Mail-Adresse der Frau am Telefon kam es jedoch zu einem Fehler. Infolgedessen versendete die Krankenkasse die gewünschten Informationen unverschlüsselt und ohne jede Pseudonymisierung an eine falsche elektronische Empfängeradresse. Nachdem bei der Frau keine E-Mail ankam, fragte sie telefonisch nach, wodurch der Fehlversand offenkundig wurde. Daraufhin klagte sie auf Zahlung von 15.000 Euro Schadensersatz nach Art. 82 DS-GVO.
Entscheidung der Gerichte
Ihre Klage in erster Instanz vor dem Landgericht (LG) Wuppertal Erfolg. Die Richter stellten fest, dass die Frau durch die unverschlüsselt versandte Gesundheitsakte und der darin enthaltenen Daten den Kernbereich höchstpersönlicher, privater Lebensgestaltung betroffen und damit die Intimsphäre der Klägerin verletzt haben. Aus diesem Grund hat sie Anspruch auf Zahlung eines Schadensersatzes i. H. v. 4.000 Euro, da sie einen immateriellen Schaden nach Art. 82 DS-GVO erlitten hat (Urteil v. 03.08.2020, Az.: 3 O 101/19).
Allerdings ging die Klage in die nächste Instanz vor dem Oberlandesgericht (OLG) Düsseldorf, da der Betrag der Klägerin zu niedrig und der Krankenkasse zu hoch war. Die Richter des OLG stellten fest, dass die Voraussetzungen von Art. 82 DS-GVO erfüllt waren und der Frau Schadensersatz zusteht. Außerdem war die Krankenkasse in dem Fall nicht frei von Schuld und musste berechtigterweise Schadensersatz an die Frau zahlen. Da die falsch versandte E-Mail aber glücklicherweise auf einer nicht mehr aktiv genutzten E-Mail-Adresse landete und dort schließlich ungelesen gelöscht werden konnte, sprachen die Richter der Frau nur noch 2.000 Euro Schadensersatz gem. Art. 82 DS-GVO zu.
(OLG Düsseldorf, Urteil v. 28.10.2021, Az.: 16 U 275/20)
Fallbeschreibung
Ein Mann war bei einer Arbeitgeberin beschäftigt. Während des Arbeitsverhältnisses wurden mit Wissen und Einverständnis des Mannes Foto- und Videoaufnehmen angefertigt und diese zu Werbezwecken auf der Firmenhomepage veröffentlicht. Die Aufnahmen zeigten den Kläger als „Schulungsleiter“ im Unternehmen der Beklagten und bewarben die damals durch den Kläger durchgeführten Schulungen. Ein (explizites) Einverständnis des Klägers in die Nutzung dieser Aufnahmen nach Beendigung des Arbeitsverhältnisses lag nicht vor. Der Mann schied im Mai 2019 aus der Firma aus. Allerdings verwendete die Firma die Aufnahmen weiter. Eine vollständige Löschung der Aufnahmen fand auf sein wiederholtes Auffordern erst am 21.02.2020 statt. Schließlich machte er vor Gericht neben seinem Recht auf Auskunft nach Art. 15 DS-GVO auch immateriellen Schadensersatz wegen Verletzung der Auskunftspflicht sowie wegen Verwendung der Foto- und Videoaufnahmen nach Beendigung des Arbeitsverhältnisses geltend.
Entscheidung des LAG Baden-Württemberg
Nach Prüfung des Sachverhalts verurteilte das Gericht die Arbeitgeberin zur Zahlung von 10.000 Euro Schadensersatz, da die Foto- und Videoaufnahmen trotz mehrmaliger Aufforderung durch den Kläger erst nach 9 Monaten gelöscht wurden. Dies stellt eine erhebliche Beeinträchtigung des Persönlichkeitsrechts des Klägers dar. Einen Schadensersatzanspruch wegen verspäteter Auskunftserteilung lehnte das Gericht jedoch ab.
(LAG Baden-Württemberg, Urteil v. 27.07.2023, Az.: 3 Sa 33/22)
Fallbeschreibung
Ein Betroffener, der 2016 beim Kundenservice eines Immobilienunternehmens tätig war, verlangte 2020 Auskunft hinsichtlich seiner personenbezogenen Daten, die beim Unternehmen verarbeitet werden. Nachdem die Auskunft erteilt wurde, machte er im Oktober 2022 erneut von seinem Auskunftsrecht Gebrauch und setzte dem Unternehmen eine Frist bis zum 16.10.2022. Die verantwortliche Stelle erteilt die Auskunft am 27.10.2022, was nach Ansicht des Betroffenen verspätet war. Zudem sei die Auskunft inhaltlich mangelhaft gewesen, da konkreten Angaben zur Dauer der Datenspeicherung und die namentlich bezeichneten Empfänger seiner Daten fehlen würden. Daraufhin konkretisierte das Unternehmen die gewünschten Angaben gegenüber dem Betroffenen am 01.12.2022. Dem Betroffenen reichten die Angaben noch immer nicht aus, weshalb er immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO forderte. Das Unternehmen lehnt den Anspruch ab, es fehle bereits an einem immateriellen Schaden.
Entscheidung des LAG Düsseldorf
In erster Instanz sprach das Arbeitsgericht (ArbG) Duisburg dem Betroffenen einen Schadensersatz in Höhe von 10.000 Euro zu (Urteil vom 23.03.2023, Az.: 3 Ca 44/23). Das Landesarbeitsgericht (LAG) Düsseldorf wies die Klage dann allerdings ab. Zwar läge ein Verstoß gegen Artt. 12 Abs. 3, 15 DS-GVO vor, da die Auskunft verspätet und anfangs unvollständig erteilt wurde. Ein Anspruch auf Schadensersatz nach Art. 82 DS-GVO bestehe nach Ansicht des Gerichts allerdings nicht. Zum einen setze Art. 82 DS-GVO haftungsbegründend eine gegen die DS-GVO verstoßende Datenverarbeitung voraus, an der es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DS-GVO fehle. Des Weiteren verlange Art. 82 DS-GVO für einen immateriellen Schadensersatz mehr als nur einen bloßen Verstoß gegen die Vorgaben der DS-GVO. Nach Ansicht des Gerichts reiche eine bloße Verzögerung, anfängliche Unvollständigkeit oder der bloße Kontrollverlust nicht aus und sei schlussendlich mit dem Verstoß gegen Art. 15 DS-GVO identisch.
(LAG Düsseldorf, Urteil vom 28.11.2023, Az.: 3 Sa 285/23)
Fallbeschreibung
Der Kläger war langjähriger Arbeitnehmer der Beklagten. Nach mehreren Kündigungen, die durch Kündigungsschutzklagen für unwirksam erklärt wurden, und einer Änderungskündigung erhob er Klage auf vertragsgemäße Beschäftigung. Am Tag der Klageerhebung meldete er sich aufgrund einer Rückenverletzung krank. Während dieser Arbeitsunfähigkeit ließ die Beklagte den Kläger heimlich und rechtswidrig durch eine Detektei beobachten, um das Vorliegen der Arbeitsunfähigkeit zu überprüfen. Dann folgte schließlich eine Kündigung, für die die Beklagte aufgrund falscher Angaben eine Zustimmung vom Betriebsrat erhielt.
Entscheidung des LAG Düsseldorf
Der Mann erhob schließlich Kündigungsschutzklage vor dem Arbeitsgericht (ArbG) Krefeld. Die Kündigung wurde vom Gericht für rechtswidrig erklärt, ein Anspruch auf Schmerzensgeld aber zurückgewiesen. In der Berufung vor dem Landesarbeitsgericht (LAG) Düsseldorf wurde die Unwirksamkeit der Kündigung bestätigt. Zusätzlich wurde dem Kläger aber ein Schadensersatz i. H. v. 1500 Euro nach Art. 82 DS-GVO zugesprochen, da er durch die heimliche und rechtswidrige Überwachung durch eine Detektei einen immateriellen Schaden erlitten hatte.
(LAG Düsseldorf, Urteil v. 26.04.2023, Az.: 12 Sa 18/23)
Auch wenn eine Übermittlung personenbezogener Daten in die USA im betreffenden Fall teilweise unzulässig ist, begründet der DS-GVO-Verstoß alleine keinen Schadensersatzanspruch. Der Betroffene muss auch nachweisen, dass im durch die Datenschutzverletzung ein Nachteil (Schaden) entstanden ist.
(Az.: 17 Sa 37/20)
Fallbeschreibung
Nachdem ein Unternehmen Opfer eines Cyberangriffs geworden war, wurde festgestellt, dass auch Kundendaten des Klägers betroffen waren. Die betroffenen Personen wurden über diesen Datenschutzvorfall informiert. Aufgrund längerer Abwesenheit forderte der spätere Kläger fast zwei Jahre nach dem Vorfall die Zahlung von Schadensersatz. Da das Unternehmen diese Zahlung – unter Hinweis darauf, dass bisher kein Schaden eingetreten war – verweigerte, erhob der Mann Klage auf Zahlung von mindestens 1000 Euro Schadensersatz vor dem Amtsgericht (AG) München.
Entscheidung des AG München
Die Klage des Mannes wies das Amtsgericht (AG) ab und begründete dies damit, dass ein Datenschutzverstoß allein noch nicht zu einem Ersatzanspruch gem. Art. 82 DS-GVO führt, da der „Verstoß gegen diese Verordnung“ und der „Schaden“ zwei unterschiedliche Tatbestandsmerkmale der Vorschrift sind. Da beim Kläger bisher kein Schaden entstanden war, reicht der bloße Kontrollverlust über Daten nicht für das Vorliegen eines Schadens aus. Mit dieser Begründung schloss sich das Gericht der aktuellen Rechtsprechung des Europäischen Gerichtshofs (EuGH) zum immateriellen Schadensersatz (Urteil v. 04.05.2023, Az.: C 300/21) an.
(AG München, Urteil v. 03.08.2023, Az.: 241 C 10374/23)
Fallbeschreibung:
Eine Frau schickte eine E-Mail mit Werbung für FFP2-Masken an einen Rechtsanwalt. Auf Nachfrage des Anwalts, wie sie denn an seine E-Mail-Adresse gekommen sei, erklärte sie, sie hätte nach einem Anwalt gesucht, allerdings hätte sich das rechtliche Problem inzwischen gelöst. Die E-Mail-Adresse habe sie, da ja manuell erfasst, schließlich für die Mailingaktion verwendet. Die daraufhin vom Anwalt geforderte Unterlassungserklärung gab die Frau ab. Trotzdem zog der Anwalt vor Gericht und verlangte Schadensersatz.
Entscheidung des AG Pfaffenhofen:
Das Amtsgericht (AG) Pfaffenhofen gab der Klage des Anwalts statt und sprach ihm Schadensersatz in Höhe von 300 Euro zu. In der sehr genauen Prüfung des Falles betrachtete das Gericht die Verstöße gegen die DS-GVO ausführlich und führte eine umfangreiche Interessenabwägung durch. Grundsätzlich ist die Erfassung von frei zugänglichen Adressen von Hand von den Regelungen der DS-GVO umfasst, da das Internet unstreitig zum EDV-Bereich zählt. Insgesamt stellte das Gericht fest, dass die Frau die personenbezogene E-Mail-Adresse des Rechtsanwalts gem. Art. 4 Nr. 2 DS-GVO verarbeitet hat. Nachdem als Rechtsgrundlage weder eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO, Art. 7 DS-GVO noch ein berechtigtes Interesse gem. Art. 6 Abs. 1 S. 1 lit. f) DS-GVO in Betracht kam, sprach das Gericht dem Kläger 300 Euro Schadensersatz gem. Art. 82 DS-GVO zu.
(AG Pfaffenhofen, Urteil v. 09.09.2021, Az.: 2 C 133/21)
Eine bloße Verletzung der Datenschutzvorgaben reicht nicht aus, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu begründen, sondern dem Betroffenen muss tatsächlich ein Schaden entstanden sein. Hiervon umfasst sind zwar auch Immaterielle Schäden, es ist jedoch eine objektiv benennbare Beeinträchtigung erforderlich, die über die bloße Rechtsverletzung hinausgeht. Bei einer einmaligen Nutzung personenbezogener Daten für E-Mail-Werbung ist dies nicht der Fall.
(Az.: 410d C 197/20)
Fallbeschreibung
Ein Mann kaufte bei einer Computerfirma einen neuen Computer. Er arbeitete damit und speicherte auf der Festplatte auch personenbezogene Daten. Nachdem am Computer ein Mangel aufgetreten war, reklamierte er diesen und erhielt einen neuen Computer. Die alte Festplatte verkaufte die Computerfirma in der Folgezeit unformatiert weiter. Der Käufer der gebrauchten Festplatte konnte dadurch die gespeicherten personenbezogenen Daten des Klägers, beispielweise Fotos und die Steuererklärung, einsehen.
Entscheidung des AG Hildesheim
Das AG Hildesheim stellte fest, dass dieses Vorgehen einen Verstoß gegen die europäische Datenschutzgrundverordnung (DS-GVO) darstellt. Die Computerfirma hätte die Daten auf der Festplatte löschen müssen. Es genügt nicht, dass die Firma den Kläger darauf hinwies, dass Daten von der Festplatte selbstständig gelöscht werden müssen. Diese Verlagerung der Verantwortung würde zu einem pauschalen Haftungsausschluss auf Seiten der Computerfirma führen, der dem Schutzzweck der DS-GVO widerspricht. Die Computerfirma wurde in diesem Fall zur Zahlung von Schadensersatz in Höhe von 800 Euro verurteilt, um den immateriellen Schaden des Klägers aufzuwiegen.
(AG Hildesheim, Urteil v. 15.10.2020, Az. 43 C 145/19)
Um einen Schadensersatzanspruch begründen zu können, muss der Betroffene eine eindeutige Beeinträchtigung darlegen können. Die bloße Tatsache, dass eine Datenschutzverletzung vorliegt, ist hierfür nicht ausreichend.
(Az.: 816 C 33/20)
Um einen Schadensersatzanspruch aufgrund eines Datenschutzverstoßes zu begründen, muss zwar keine schwerwiegende Persönlichkeitsrechtsverletzung vorliegen, die Verletzung muss allerdings konkret benennbar sein. Diese muss der Kläger darlegen und beweisen können. Bagatellverstöße oder das bloße Gefühl des Unbehagens genügen nicht für einen Anspruch auf Schadensersatz.
(Az.: 385 C 155/19)
Fallbeschreibung
Ein Arbeitnehmer hatte in den Jahren 2020 und 2022 von seinem Recht auf Auskunft nach Art. 15 DS-GVO Gebrauch gemacht. Während der Arbeitgeber die Datenauskunft im Jahr 2020 prompt und vollständig lieferte, reagierte er im Jahr 2022 zwei Wochen gar nicht auf die Auskunftsanfrage und legte erst kurz vor Ablauf der Monatsfrist eine unvollständige Kopie der Daten vor. Der Arbeitnehmer forderte die noch fehlenden Angaben ein und der Arbeitgeber lieferte in der Folge unfreiwillig die Angaben zur Speicherdauer der persönlichen Daten des Beschäftigten nach. Bezüglich der Empfänger der personenbezogenen Daten teilte der Arbeitgeber dem Arbeitnehmer mit, dass ihn dies nicht zu interessieren hätte. Daraufhin klagte dieser auf Vervollständigung der Datenauskunft sowie Zahlung eines Schmerzensgeldes in Höhe von 2000 Euro.
Entscheidung des ArbG Duisburg
Das Arbeitsgericht (ArbG) prüfte den Sachverhalt und schloss sich den Auffassungen des Arbeitnehmers an. Bezüglich der Speicherdauer stellt das Gericht fest, dass der Arbeitgeber dem Auskunftsersuchenden die konkrete Speicherdauer seiner Daten hätte mitteilen können, deren Beginn und Ende er ohne großen Aufwand hätte berechnen können. In Bezug auf die Empfänger der Daten erklärte das Gericht, dass in einer Datenauskunft die konkreten Empfänger benannt werden müssen. Da diese dem Arbeitgeber bekannt waren, durfte er sich nicht auf die Angabe von Kategorien von Empfängern beschränken. Aus diesen Gründen verurteilte der ArbG den Arbeitgeber nach Prüfung des Sachverhalts zur Zahlung von insgesamt 10.000 Euro Schadensersatz. Dieser setzt sich aus 5000 Euro Schadensersatz wegen einer vorsätzlich verspäteten Auskunft und aus weiteren 5000 Euro Schadensersatz wegen des unkooperativen sowie intransparenten Verhaltens des Chefs zusammen.
(ArbG Duisburg, Urteil v. 23.03.2023, Az.: 3 Ca 44/23)
Fallbeschreibung
Der spätere Kläger war mehrere Jahre als Geschäftsführer und Vertriebsleiter in einer Firma für Feuerwerkskörper tätig. Nachdem er nicht mehr dort tätig war, verlangte der Mann gem. Art. 15 Abs. 1 DS-GVO Auskunft über die Speicherung und Verarbeitung personenbezogener Daten einschließlich der Herausgabe der Kopie der gespeicherten personenbezogenen Daten gem. Art. 15 Abs. 3 DS-GVO. Dieser Forderung kam die ehemalige Arbeitgeberin aber nicht nach, sodass der Kläger zusätzlich Schadensersatz wegen Nichterteilung der geforderten Auskunft verlangte.
Entscheidung des ArbG Oldenburg
Das Arbeitsgericht (ArbG) kam zu dem Ergebnis, dass der Kläger ein Recht auf Auskunft hat. Zusätzlich erklärt das Gericht den Schadensersatzanspruch für begründet, da eine Datenverarbeitung unstreitig ist. Dies führt dazu, dass ein solcher Anspruch begründet ist. In seinem Urteil stellte das Gericht fest, dass die Monatsfrist aus Art. 12 Abs. 3 DS-GVO nicht gewahrt wurde. Dies führt zu einem Schadensersatzanspruch nach Art. 82 DS-GVO. Die geforderte Auskunft erhielt der Kläger nicht binnen der Monatsfrist, sondern erst mit dem Schriftwechsel im Prozess, sodass er schließlich 20 Monate auf eine Auskunft warten musste. Das Gericht setzte für jeden verspäteten Monat einen Schadensersatzanspruch i. H. v. 500 Euro an, was zuletzt zu einem Schadensersatz i. H. v. 10.000 Euro führte.
(ArbG Oldenburg, Urteil vom 09.02.2023, Az.: 3 Ca 150/21)
In dem hier entschiedenen Fall hat der Arbeitgeber der Klägerin ein Lichtbild von der Frau ohne eine schriftliche Einverständniserklärung in einer Werbebroschüre verwendet. Aus diesem Grund hat die Mitarbeiterin einen Anspruch auf Schadensersatz bzw. Schmerzensgeld. Das Arbeitsgericht (ArbG) Münster sprach ihr nun einen Anspruch in Höhe von 5000 Euro zu.
(ArbG Münster, Urteil v. 25.03.2021, Az.: 3 Ca 391/20)
Fallbeschreibung:
Der Arbeitgeber der Klägerin ist eine Universität. Um für die Internationalität der Universität zu werben, verwendete die Universität das Bild der Klägerin in einem auf ihre Hautfarbe bezogenen Zusammenhang verwendet, denn die Ethnie der Klägerin ist auf dem Bild die zentrale Aussage. Eine Person mit weißer Hautfarbe wäre nicht herangezogen worden. Das Bild der Klägerin wurde gerade wegen ihrer Hautfarbe verwendet. Die Arbeitnehmerin war mit der Verwendung ihres Fotos nicht einverstanden und machte einen Verstoß gegen die DS-GVO und das sogenannte Recht am eigenen Bild geltend.
Entscheidung des ArbG Münster:
Die Richter erklärten in ihrem Urteil, dass die Universität bereits im Vorfeld der Werbekampagne eine schriftliche Einwilligung der Klägerin nach § 26 Abs. 2 S. 3 DS-GVO hätten einholen müssen. Zusätzlich hätte die Mitarbeiterin vorher in Textform über den Zweck der Datenverarbeitung und ihr Widerrufsrecht aufgeklärt werden müssen. Beides ist nicht passiert. Zusätzlich ist im Arbeitsverhältnis § 22 Kunsturhebergesetz (KUG) verfassungskonform dahingehend auszulegen, dass die Einwilligung der Schriftform bedarf – die gerade nicht eingehalten wurde. In der Werbebroschüre ist die Klägerin auch nicht nur untergeordnet auf dem Bild zu sehen, sodass nach § 23 KUG eine schriftliche Einwilligung nicht erforderlich gewesen wäre. Folglich hat die Klägerin gegen ihren Arbeitgeber einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO in Verbindung mit dem Kunsturheberrechtsgesetz. Das Gericht sprach ihr einen Schadensersatz in Höhe von 5000 Euro zu.
Bei immateriellen Schäden müssen Betroffene einen vollständigen und wirksamen Ersatz für ihren Schaden erhalten und Verstöße bei Unternehmen effektiv sanktioniert werden. Deshalb sprach das Arbeitsgericht einem ehemaligen Mitarbeiter 1.500 Euro Schadensersatz zu, nachdem sein ehemaliger Arbeitgeber ein Auskunftsersuchen drei Monate zu spät beantwortet hatte.
(Az.: 1 Ca 247 c/20)
Werden die Rechte und Freiheiten einer Person beeinträchtigt oder wird ihr die Kontrolle über ihre Daten entzogen, kann dies einen Schadensersatzanspruch begründen. Im betreffenden Fall erhielt ein Arbeitnehmer 5.000 Euro Schmerzensgeld von seinem ehemaligen Arbeitgeber, weil dieser sein Auskunftsersuchen nicht erfüllt hatte.
(Az.: 9 Ca 6557/18)
Werden Fotos von Arbeitnehmern auf der Facebook-Fanpage des (ehemaligen) Arbeitgebers ohne dessen schriftliche Einwilligung veröffentlicht, steht dem Betroffenen Schadensersatz zu. Für die Begründung eines Schadensersatzanspruchs ist es nicht erforderlich, dass die Verletzung des Persönlichkeitsrechts schwerwiegend ist. Das Gericht sprach dem Betroffenen einen immateriellen Schadensersatz von 1.000 Euro zu. Zugunsten des Unternehmens wurde berücksichtigt, dass der Arbeitnehmer für die Veröffentlichung seiner Daten auf der Firmenhomepage eine Einwilligung erteilt hatte.
(Az.: 1 Ca 538/19)
Fallbeschreibung
Im Jahr 2021 kam es bei Facebook, das zum Meta-Konzern gehört, zu einer Datenpanne. Hacker hatten eine Sicherheitslücke ausgenutzt und sich Zugang zu Facebook-Nutzerdaten verschafft. Daten von geschätzt 530 Millionen Facebook-Nutzern – darunter rund 6 Millionen Menschen aus Deutschland – wurden in einem Hacker-Forum veröffentlicht und waren frei zugänglich. Hier wurden auch sensible Daten wie E-Mail-Adressen und Passwörter angeboten. Zudem sollen Informationen wie Geburtstage, Arbeitgeber, Beziehungsstatus, geographische Standorte, Namen und Telefonnummern von dem Datenleck betroffen sein. In Folge erhalten Betroffene seitdem vermehrt Spam-Anrufe und Spam-Nachrichten, die täuschend echt aussehen. Einige betroffene Facebook-Kunden verlangten daraufhin immateriellen Schadensersatz in Höhe von 1000 Euro.
Entscheidung des LG Paderborn
Das Landgericht (LG) Paderborn gab den Klägern in fünf Fällen überwiegend Recht und sprach den Betroffenen jeweils einen Schadensersatz in Höhe von 500 Euro zu. Nach Ansicht des Gerichts hatte Facebook unter anderem nicht ausreichend Sicherheitsmaßnahmen getroffen, um den Datenabfluss zu verhindern und sei mitverantwortlich für die entstandenen Schaden. Der Social Media Anbieter hätte sich bewusst sein müssen, dass die Gefahr von „Scraping“ (Screen Scraping oder Web Scraping – Funktion, bei der eine Anwendung oder ein Script Informationen von einer Website oder einem Online-Dienst ausliest und speichert) besteht und entsprechend angemessene Schutzmaßnahmen ergreifen müssen. Allerdings konnte das Gericht keine besondere persönliche Betroffenheit feststellen, weshalb es den Schadensersatz von 1000 Euro auf 500 Euro reduzierte. Zugleich wurde Facebook verpflichtet, künftige Schäden, die durch den unbefugten Zugriff Dritter auf das Facebook-Datenarchiv erfolgten oder noch erfolgen werden, zu ersetzen.
(LG Paderborn, Urteile v. 19.12.2022, (Az.: 2 O 212/22; 2 O 185/22; 2 O 236/22; 3 O 99/22; 3 O 193/22)
Fallbeschreibung
In einem Gebäude in Berlin befinden sich Wohnungen und eine Kindertagesstätte (Kita). Die Kita errichtete eine Videoüberwachung, die auch auf den Innenhof des Gebäudes gerichtet war, der auch von den Mietern des Gebäudes genutzt werden durfte und in dem sich ein Spielplatz befindet. Eines Tages stellte einer der Mieter sein Fahrzeug in diesem Innenhof ab, um es für eine Urlaubsreise zu beladen. Daraufhin beschwerte sich die Kita beim Vermieter und behauptete, der Mieter habe einen Hausfriedensbruch begangen.
Es kam zum Rechtsstreit zwischen der Kita und dem Mieter, der die Videoüberwachung für rechtswidrig erachtete. Er verlangte Unterlassung und Schadensersatz, da er über einen langen Zeitraum den Innenhof wegen der Videoüberwachung nicht nutzen konnte, sowie Schmerzensgeld wegen des einhergehenden Überwachungsdrucks und der Bezichtigung als Hausfriedensbrecher.
Entscheidung des LG Berlin
In der ersten Instanz stimmte das zuständige Amtsgericht (AG) dem Kläger zu und auch der Berliner Datenschutzbeauftragte hat die Kita im Zuge dieses Vorfalls bestandskräftig mit einem Bußgeld verwarnt. Das Landgericht (LG) Berlin sah für die Datenverarbeitung der Kita ebenfalls keine Rechtsgrundlage. Bei einer Interessensabwägung nach Art. 6 Abs. 1 lit. f) DS-GVO überwiegen die Interessen des Mieters. Er musste stets damit rechnen, dass mit Betreten des Innenhofs sein Verhalten beobachtet wird. Erschwerend kam hinzu, dass es sich bei der beobachteten Fläche um einen Rückzugsbereich handelt, in dem der Mieter und dessen Kinder ihre Freizeit verbringen durften. Darüber hinaus war auch keine zeitliche Begrenzung der Speicherung der Aufnahmen ersichtlich.
Das Gericht bejahte hier sowohl einen materiellen als auch einen immateriellen Schaden, da er durch die Videoüberwachung an der mietvertraglich geregelten Nutzung des Innenhofs gehindert war. Bei der Ermittlung des Schadens wurde berücksichtigt, dass die Kita trotz Verwarnung durch die Aufsichtsbehörde, Beschwerden des Verwalters und gerichtlichem Versäumnisurteil die Überwachung fortsetzte sowie die Daten offenkundig noch speicherte und bis zum Tag der Urteilsverkündung noch verwendete. Das Gericht hielt das Versäumnisurteil der Vorinstanz aufrecht. Folglich erhielt der Kläger einen Schadensersatz in Höhe von 2.011,52 Euro und ein Schmerzensgeld in Höhe von 5.000 Euro für einen Zeitraum von 18 Monaten (jeweils zzgl. Zinsen).
(LG Berlin, Urteil v. 15.07.2022, Az.: 63 O 213/20)
Fallbeschreibung
Ein Ehepaar speicherte für eine Immobilienfinanzierung zahlreiche private Unterlagen, wie Ausweisdokumente, Steuerunterlagen und Einkommensverhältnisse, auf einem unverschlüsselten USB-Stick und warfen diesen in den Briefkasten der Bank ein. Nachdem kein Vertragsschluss zustande kam, sandte die Bank den USB-Stick per Post zurück, wobei dieser verloren ging.
Entscheidung des LG Essen
Die Klage auf Schadensersatz nach Art. 82 DS-GVO wegen Verstößen gegen Art. 24, 25 Abs. 1, 32 DS-GVO hatte keinen Erfolg. Die Richter des Landgerichts (LG) Essen stellten fest, dass die Bank gegen Art. 33 DS-GVO verstoßen hat, da sie den Verlust des USB-Sticks nicht gemeldet hatte. Auch ein Verstoß gegen Art. 34 Abs. 2 DS-GVO liegt unzweifelhaft vor, da die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person und den im Zusammenhang stehenden ergriffenen Maßnahmen unterblieben ist.
Einen Verstoß gegen Art. 24, 25 Abs. 1, 32 DS-GVO konnten die Richter aber nicht erkennen, da es datenschutzkonform ist und dem aktuellen Stand der Datensicherheit nach Art. 32 DS-GVO entspricht, wenn eingereichte unverschlüsselte USB-Sticks mit personenbezogenen Daten per einfacher Briefpost an die Absender zurückgeschickt werden. Als Begründung führten die Richter an, dass schließlich auch ausgedruckte Dokumente mit sensiblen Inhalten wie etwa Steuerbescheiden per Post versendet werden. Da es zu keiner spürbaren Beeinträchtigung von persönlichen Belangen des Klägers und seiner Ehefrau gekommen war, wiesen die Richter die Klage auf Schadensersatz zurück.
Bezüglich der Abtretung des Schadensersatzanspruchs der Ehefrau an ihren Ehemann stellten die Richter fest, dass die Ehefrau diesen an ihren Ehemann abtreten konnte, da grundsätzlich jede Forderung abtretbar ist, die hinreichend bestimmt ist und für die kein Abtretungsverbot nach §§ 399, 400 Bürgerliches Gesetzbuch (BGB) bestanden hat.
(LG Essen, Urteil v. 23.09.2021, Az. 6 O 190/21)
Fallbeschreibung
Bei einem Finanzdienstleistungsunternehmen, einem Online-Broker, kam es im Jahr 2020 zu einer Datenpanne, als sich ein ehemaliger Partner insgesamt drei Mal unbefugt Zugriff auf Kundendaten des Unternehmens verschafften. Das ehemalige Partnerunternehmen zog die Daten ab und bot sie im Darknet zum Verkauf an. Betroffen waren neben Vor- und Nachnamen, der Anschrift, der Emailadresse, der Handynummer, des Geburtsdatums, -orts und -lands, der Staatsangehörigkeit, des Familienstands und der steuerlichen Ansässigkeit auch die Steuer-ID, die IBAN, Ausweiskopien sowie Portraitfotos von 33.200 Nutzern. Nach dem dritten unbefugten Zugriff im Oktober 2020 informierte das Unternehmen die betroffenen Kunden selbst über den Verlust der 389.000 Datensätze. Einer der betroffenen Kunden reichte daraufhin eine Schadenersatzklage ein, da er künftig dauerhaft dem Risiko ausgesetzt ist, dass seine Daten missbräuchlich verwendet werden.
Entscheidung des LG München
Das Landgericht (LG) München gab der Klage des Betroffenen statt und sprach ihm einen Schadensersatz in Höhe von 2.500 Euro zu. Begründet hat das Gericht seine Entscheidung damit, dass das Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen getroffen hat, um eine sichere Datenverarbeitung zu gewährleisten und die Passwörter der Nutzer angemessen zu schützen. Insbesondere hätte das Finanzdienstleistungsunternehmen die Zugangsdaten des Partnerunternehmens nach Beendigung der Geschäftsbeziehung im Jahr 2015 ändern müssen. Dies hat das Unternehmen fahrlässig versäumt. Zwar wurden die Daten trotz des Verstoßes gegen Art. 32 DS-GVO nicht weiterverwendet, dies sei allerdings bei der Bemessung der Anspruchshöhe zu berücksichtigen. Neben diesem immateriellen Schadensersatz entschied das LG München zudem, dass das Unternehmen alle künftigen materiellen Schäden ersetzen muss, die dem Betroffenen aufgrund des Datenlecks und dem Verlust seiner Daten entstehen.
Der Online-Broker hat seine Berufung im Juli 2022 zurückgenommen, das Urteil ist damit rechtskräftig. Soweit bekannt, handelt es sich um das erste rechtskräftige Urteil zu einem Schadensersatzanspruch in Folge einer Datenpanne.
(LG München I, Urteil v. 09.12.2021, Az.: 31 O 16606/20)
Fallbeschreibung
Ausgangspunkt des Rechtsstreits war eine nicht beglichene Stromrechnung eines Betroffenen von Juni 2018. Nachdem der ausstehende Betrag in Höhe von rund 290 Euro nicht bezahlt wurde, mahnte der Stromversorger die Rechnung mehrfach an und bezog dabei auch ein Inkasso-Unternehmen mit ein. Da dies ebenfalls erfolglos blieb, folgte im Jahr 2019 ein Vollstreckungsbescheid über die Forderung, die sich inkl. Zinsen und weiteren Kosten zwischenzeitlich auf rund 490 Euro belief. Gleichzeitig erfolgte auch ein Negativeintrag bei der Schufa. Kurze Zeit später wurde der ausstehende Betrag beglichen und der Betroffene forderte die Schufa im Rahmen einer einstweiligen Verfügung zur Löschung des Eintrags auf. Die Löschung erfolgte nur wenige Tage später. Da der Betroffene angab, weder die Mahnungen noch den Mahnbescheid erhalten zu haben, empfand er den Eintrag als rechtswidrig und verlangte Schadenersatz vom Stromversorger. Der Ablauf der Einspruchsfrist sei nicht abgewartet worden.
Entscheidung des LG Mainz
Das Landgericht (LG) Mainz folgte der Argumentation des Betroffenen, dass er aufgrund des rechtswidrigen Negativeintrages bei der Schufa wirtschaftliche Nachteile erlitten hat und sprach ihm einen immateriellen Schadensersatz in Höhe von 5.000 Euro zu. Da der Stromversorger nicht beurteilen konnte, ob die Mahnungen und der Mahnbescheid inkl. der Androhung einer Meldung an die Schufa zugegangen sind, hätte das Unternehmen im Rahmen der Sorgfaltspflicht eine Karenzfrist abwarten müssen. Da dies nicht geschah, sah das Gericht die Einmeldung bei der Schufa als rechtswidrig an. Der Betroffene konnte zudem glaubhaft machen, dass ihm durch den Negativeintrag ein Imageverlust entstanden ist und seine Kreditwürdigkeit beeinträchtigt wurde.
(LG Mainz, Urteil v. 12.11.2021, Az.: 3 O 12/20)
Die unzulässige Weitergabe von persönlichen Daten eines Versicherungsnehmers an Dritte durch die Versicherung stellt eine Nebenpflichtverletzung dar, auch wenn im Versicherungsvertrag keine ausdrückliche Vertraulichkeitsregelung enthalten ist. Die Weitergabe personenbezogener Daten bedarf einer Rechtsgrundlage, wobei hier besonders hohe Anforderungen erfüllt sein müssen, wenn Gesundheitsdaten betroffen sind. Die unrechtmäßige Verarbeitung von Gesundheitsdaten stellt einen besonders schweren Verstoß gegen das allgemeine Persönlichkeitsrecht dar. Das Gericht sprach dem klagenden Betroffenen deshalb ein Schmerzenzgeld in Höhe von 10.000 Euro zu.
(Az.: 3 O 363/20)
Eine reine Befürchtung, dass ein Datenschutzverstoß negative Folgen nach sich zieht, ist nicht ausreichend, um einen Schadensersatzanspruch zu begründen. Auch beim Ersatz immaterieller Schäden muss die Verletzungshandlung eine konkrete, nicht nur unbedeutende Verletzung von Persönlichkeitsrechten der betroffenen Person verursacht haben.
(Az.: 324 S 9/19)
Nachdem ein Unternehmen die Antwort an einen Bewerber, die unter anderem seine Gehaltsvorstellungen enthielt, versehentlich an einen Dritten sendete, wurden dem Bewerber 1.000 Euro Schadensersatz zugesprochen.
(Az.: 13 O 244/19)
Das Gericht sprach einer Polizistin 5.000 Euro Schadensersatz zu, nachdem eine Band ein Musikvideo von einem Konzert, auf dem sie im Dienst zu sehen war, auf YouTube veröffentlichte. Nach dem Kunsturheberrechtsgesetz ist für eine Verbreitung und Veröffentlichung von Bildmaterial grundsätzlich die Einwilligung des Abgebildeten erforderlich (§ 22 KUG). Die Höhe der Geldentschädigung begründet das Gericht damit, dass das allgemeine Persönlichkeitsrecht der Polizistin schuldhaft verletzt wurde, der Eingriff schwerwiegend war und das Video durch seine Veröffentlichung auf YouTube weitreichend verbreitet wurde. Zudem wurde durch das Musikvideo der Gewinn der Band gesteigert. Zwar bezog sich das Gericht in seiner Entscheidung nicht auf die DS-GVO, das Ergebnis wäre hier aber wohl gleich.
(Az.: 23 O 159/18)