Urteile zum Schadensersatzanspruch bei Datenschutzverletzungen

Die DS-GVO räumt Betroffenen in Art. 82 die Möglichkeit ein, für Datenschutzverletzungen Schadensersatzansprüche gegen den verantwortlichen Datenverarbeiter geltend zu machen. Umfasst sind hiervon sowohl materielle als auch immaterielle Schäden. Nach anfänglicher Zurückhaltung neigen deutsche Gerichte immer mehr dazu, für DS-GVO-Verstöße vergleichsweise hohes Schmerzenzgeld zuzusprechen. Nach dem Datenschutzrecht soll dem Betroffenen nicht nur der erlittene Schaden ersetzt werden, sondern es soll auch eine abschreckende Wirkung erzielt werden. Wie hoch der Schadensersatz im Einzelfall ausfällt, liegt im Ermessen der Richter.

Es liegt nicht im Ermessen eines deutschen Amtsgerichts (AG), ob der Schadensersatzanspruch eines Betroffenen wegen einer unzulässigen Werbe-E-Mail als Bagatelle eingestuft und abgelehnt wurde. Eine solche Auslegung  des Art. 82 DS-GVO obliegt ausschließlich dem EuGH. Deshalb hätte das AG den Anspruch des Klägers nicht ablehnen dürfen, sondern die Frage dem EuGH weiterleiten müssen. Das BVerfG hob mit seinem Beschluss das Urteil des AG Goslar vom 27.09.2019 (Az. 28 C 7/19) auf.

(Az.: 1 BvR 28531/19)

Fallbeschreibung

Die spätere Klägerin hatte einen Rechtsanwalt mit der Verfolgung ihrer Ansprüche in einem Verkehrsunfall beauftragt. Nachdem sie den Anwaltsvertrag gekündigt hatte, verlangte sie Datenauskunft zum Mandatskonto und der E-Mail- bzw. WhatsApp-Kommunikation. Diese Auskunft erhielt sie jedoch erst nach 8 Monaten. Die Frau gab an, durch die stark verspätete Datenauskunft psychisch belastet gewesen zu sein, da für sie nicht absehbar war, ob sie das Verfahren im Zusammenhang mit dem Verkehrsunfall mit einem neuen Anwalt noch erfolgreich beenden könne. Daher verklagte die Frau den Rechtsanwalt und verlangte einen Schadensersatz von mindestens 1.000 Euro.

Entscheidung des OLG Köln

Nachdem das Landgericht (LG) Bonn zwar einen Verstoß gegen die Auskunftspflicht nach Art. 15 DS-GVO festgestellt, einen Anspruch auf Schadenersatz jedoch abgelehnt hatte, sprach das Oberlandesgericht (OLG) Köln der Frau einen Schadensersatz in Höhe von 500 Euro zu. Die Richter urteilten, dass eine verspätete Datenauskunft dazu geeignet ist, einen Schadenersatzanspruch wegen eines immateriellen Schadens nach Art. 82 DS-GVO auszulösen. Sie begründeten dies damit, dass die Klägerin „für eine nicht unerhebliche Dauer daran gehindert war, das Unfallverfahren mit ihrem neuen Anwalt voranzutreiben“. Bei der Festlegung des Schadenersatzanspruchs in Höhe von 500 EUR wurde schadensmindernd berücksichtigt, dass sich die Datenauskunft auch durch eine Erkrankung des Anwalts verzögert hatte.

(OLG Köln, Urteil v. 14.07.2022, Az.: 15 U 137/21)

Fallbeschreibung

Eine Kundin eines Telekommunikationsunternehmens schloss einen neuen Mobilfunkvertrag ab und beendete gleichzeitig ihren bisherigen Vertrag beim gleichen Anbieter. Ihren neuen Mobilfunkvertrag widerrief die Frau später. Wegen nicht ausgeglichener Rechnungen meldete das Telekommunikationsunternehmen die Frau bei der SCHUFA. Nach einem erfolglosen Mahnverfahren klagte der Mobilfunkanbieter auf Zahlung, die Frau verlangte im Gegenzug Schadensersatz nach Art. 82 DS-GVO. i. H. v. 6.000 Euro, da ihre Hausbank wegen der SCHUFA-Einträge Kreditverhandlungen abgebrochen hätte.

Entscheidung des OLG Koblenz

Nachdem das zunächst zuständige Amtsgericht den Fall aufgrund der Widerklage i. H. v. 6.000 Euro an das zuständige Landgericht abgegeben hatte, entschied dieses zugunsten des Mobilfunkanbieters. Die nun folgende Berufung der Frau vor dem Oberlandesgericht (OLG) Koblenz hatte aber schließlich Erfolg. Zunächst wurde festgestellt, dass die Frau ihren neuen Mobilfunkvertrag wirksam widerrufen hatte. Daher standen dem Telekommunikationsanbieter keine Forderungen zu. Die Meldung an die SCHUFA erfolgte demnach zu Unrecht und stellte einen Verstoß gegen Art. 5, 6 DS-GVO i. V. m. Art. 4 Nr. 2 DS-GVO dar. Das Gericht sprach der Betroffenen schließlich einen Schadensersatz für einen immateriellen Schaden i. H. v. 500 Euro zu und entschied, dass auch bei niedrigen Beträgen, wie hier, die abschreckende Wirkung trotzdem gegeben ist.

(OLG Koblenz, Urteil v. 18.05.2022, Az.: 5 U 2141/21)

Fallbeschreibung

Ein Mann war Kunde bei einer Bank. Beim Versand von seinen Kontoabschlüssen kam es zu einer Datenpanne, als die Bank die Kontoabschlüsse des Kunden fälschlicherweise an einen Dritten übersandte. Gleichzeitig meldete die Bank der SCHUFA die Adresse des Dritten auch noch als ehemalige Adresse des späteren Klägers, was unzutreffend war.

Entscheidung des OLG Frankfurt a. M.

Das Oberlandesgericht (OLG) Frankfurt a. M. sprach dem Mann wegen beider Fehler der Bank Schadensersatz nach Art. 82 DS-GVO i. H. v. 500 Euro zu. Das Gericht führte aus, dass der Mann durch das fehlerhafte Handeln der Bank einen immateriellen Schaden erlitten hatte. Dies begründeten die Richter damit, dass beim Kläger eine spürbare Beeinträchtigung seines durch die DS-GVO geschützten Rechts an den eigenen personenbezogenen Daten entstanden ist. Nämlich durch die Weiterleitung des Kontoabschlusses an den Dritten und die begründete Befürchtung des Klägers, dass es erneut zu einer Datenpanne kommt. Ende Januar/Anfang Februar 2019 hatte der Mann in seinem Online-Zugang einen eingestellten Kontoauszug mit der Adresse des Dritten und die Meldung einer unzutreffenden ehemaligen Adresse zu seinem SCHUFA-Profil. Bezüglich der Höhe des Schadensersatzes stellte das Gericht fest, dass 500 Euro ausreichend und angemessen sind, denn der eingetretene Schaden war eher am unteren Rand möglicher Beeinträchtigungen des Persönlichkeitsrechts des Mannes und seiner Rechte nach Art. 6 DS-GVO anzusiedeln.

(OLG Frankfurt a. M., Urteil v. 14.04.2022, Az.: 3 U 21/20)

Fallbeschreibung

Ein Besitzer einer Eigentumswohnung erhielt eine Einladung zu einer Eigentümerversammlung, der eine Tagesordnung beigefügt war. In einem Tagesordnungspunkt berichtete die Hausverwaltung über den Befall von Legionellen im Trinkwasser und nannte in diesem Zusammenhang den Kläger auch namentlich, da in dessen Wohnung ein Befund vorlag. Durch dieses Vorgehen sah sich der Mann in seinen Rechten verletzt und gab an, dass ein geplanter Wohnungsverkauf nicht mehr vollzogen werden konnte, da der Käufer wegen des Legionellen-Befalls abgesprungen sei. Er verlangte insgesamt eine Geldentschädigung i. H. v. 7.000 Euro, da die Nachricht an ca. 70 Miteigentümer verschickt worden war und er 100 Euro pro Adressaten ansetzte. Zusätzlich verklagte er auch den externen Datenschutzbeauftragten der Hausverwaltung.

Entscheidung des OLG München

Die Klage des Mannes hatte in der ersten Instanz vor dem Landesgericht (LG) Landshut (Urteil v. 05.11.2020, Az.: 51 O 513/20) bereits keinen Erfolg, da nach Ansicht des Gerichts keine Datenschutzverletzung vorgelegen habe. Die Benennung des Klägers in der Tagesordnung sei sachlich gerechtfertigt gewesen. Die anderen Wohnungseigentümer haben nach §§ 13, 14 WEG einen Anspruch darauf zu erfahren, in welchen Wohnungen eine Legionellenprüfung vorgenommen wurde und ob und in welchem Umfang es insoweit einen Legionellen-Befall gegeben hat.

Die Richter des Oberlandesgerichts (OLG) München verneinten ebenfalls eine Datenschutzverletzung. Sie führten aus, dass die Angabe der Namen der einzelnen Eigentümer in der verschickten Tagesordnung sehr wohl erforderlich war. Denn nur so konnte die Hausverwaltung sicherstellen, dass die eingeladenen Miteigentümer über alle erforderlichen Informationen verfügten, um eine Aussprache und Beschlussfassung vollständig durchführen zu können. Außerdem war es wichtig zu erfahren, welcher Teilnehmer der Eigentümerversammlung von dem Legionellen-Befall betroffen war. Denn erst dadurch konnten die anderen Miteigentümer die einzelnen Redebeiträge zutreffend einordnen und Nachfragen an die betroffenen Eigentümer stellen. Dies betrifft beispielsweise den Umfang der Arbeiten in den betroffenen Wohnungen oder an den im Sondereigentum stehenden Wasserarmaturen oder zu angekündigten Mietminderungen des betroffenen Mieters. Außerdem bestand die Möglichkeit, mit den betroffenen Eigentümern über etwaige Ansprüche der Miteigentümergemeinschaft oder die Verteilung der entstandenen und noch anfallenden Kosten zu diskutieren. Die Klage gegen den externen Datenschutzbeauftragten der Hausverwaltung hatte ebenfalls keinen Erfolg, da dieser nicht Verantwortlicher nach Art. 4 Nr. 7 DS-GVO ist und folglich auch keine Pflichten verletzt hat.

(OLG München, Urteil v. 27.10.2021, Az.: 20 U 7051/20)

Fallbeschreibung

Ein Mann war als freier Mitarbeiter für ein Maklerbüro tätig. Während und nach dem Auslaufen des befristeten Anstellungsverhältnisses war ein Lichtbild des Mannes unter Nennung seines Namens im Zusammenhang mit dem Unternehmen im Internet abrufbar. Für seine Tätigkeit als Makler wurde ihm ein geleaster Pkw zur Nutzung überlassen. Bezüglich der Kosten dieses Pkw und einer fraglichen Maklerprovision, die der Mann dagegen aufgerechnet haben wollte, kam es schließlich zu einer Klage. Im Zusammenhang mit diesem Zahlungsanspruch machte der Mann vor dem Landgericht (LG) Potsdam (Urteil v. 02.09.2020, Az.: 1 O 241/18) im Wege der Widerklage einen Entschädigungsanspruch nach Art. 82 Abs. 1 DS-GVO wegen der Veröffentlichung seines Fotos nach Beendigung des Mitarbeiterverhältnisses geltend.

Entscheidung des OLG Brandenburg

Nachdem ihm bereits das LG keinen Schadensersatzanspruch wegen Verletzung des Rechts am eigenen Bild zugesprochen hat, legte er Berufung beim Oberlandesgericht (OLG) Brandenburg ein. Die Berufung hatte aber ebenfalls keinen Erfolg. Die Richter stellten fest, dass beim Kläger kein konkreter Schaden entstanden ist und er einen solchen nicht beweisen konnte. Denn bis zur Beendigung des Dienstverhältnisses konnte von einer stillschweigenden Einwilligung des Beklagten zur Veröffentlichung seines Lichtbilds und Namens als deren freier Mitarbeiter ausgegangen werden. Die Löschung seines Fotos erfolgte zwar verspätet, aber sein pauschaler Hinweis, dass ihm durch die verspätete Löschung seines Fotos für seine Tätigkeit als Makler Nachteile erwachsen sind, führt nicht dazu, ihm hierfür einen Schadensersatz zuzusprechen. Zusätzlich erklärten die Richter, dass sich aus Art. 82 Abs. 3 DS-GVO i. V. m. Erwägungsgrund Nr. 146 Satz 2 DS-GVO keine Beweislastumkehr zu Lasten des Verantwortlichen für das Vorliegen eines Schadens ergibt. In diesem Zusammenhang wird nämlich ausschließlich auf die Verantwortlichkeit für die Umstände, die den Schaden herbeigeführt haben, nicht aber auf den Schaden selbst abgestellt.

(OLG Brandenburg, Beschluss v. 11.08.2021, Az. 1 U 69/20)

Fallbeschreibung

Eine Frau war bei einer gesetzlichen Krankenkasse versichert. Um für eine private Krankenversicherung die Gesundheitsfragen korrekt beantworten zu können, verlangte sie von ihrer Krankenkasse telefonisch die Zusendung ihrer Gesundheitsakte der letzten drei Jahre per E-Mail. Bei der Erfassung der E-Mail-Adresse der Frau am Telefon kam es jedoch zu einem Fehler. Infolgedessen versendete die Krankenkasse die gewünschten Informationen unverschlüsselt und ohne jede Pseudonymisierung an eine falsche elektronische Empfängeradresse. Nachdem bei der Frau keine E-Mail ankam, fragte sie telefonisch nach, wodurch der Fehlversand offenkundig wurde. Daraufhin klagte sie auf Zahlung von 15.000 Euro Schadensersatz nach Art. 82 DS-GVO.

Entscheidung der Gerichte

Ihre Klage in erster Instanz vor dem Landgericht (LG) Wuppertal Erfolg. Die Richter stellten fest, dass die Frau durch die unverschlüsselt versandte Gesundheitsakte und der darin enthaltenen Daten den Kernbereich höchstpersönlicher, privater Lebensgestaltung betroffen und damit die Intimsphäre der Klägerin verletzt haben. Aus diesem Grund hat sie Anspruch auf Zahlung eines Schadensersatzes i. H. v. 4.000 Euro, da sie einen immateriellen Schaden nach Art. 82 DS-GVO erlitten hat (Urteil v. 03.08.2020, Az.: 3 O 101/19).

Allerdings ging die Klage in die nächste Instanz vor dem Oberlandesgericht (OLG) Düsseldorf, da der Betrag der Klägerin zu niedrig und der Krankenkasse zu hoch war. Die Richter des OLG stellten fest, dass die Voraussetzungen von Art. 82 DS-GVO erfüllt waren und der Frau Schadensersatz zusteht. Außerdem war die Krankenkasse in dem Fall nicht frei von Schuld und musste berechtigterweise Schadensersatz an die Frau zahlen. Da die falsch versandte E-Mail aber glücklicherweise auf einer nicht mehr aktiv genutzten E-Mail-Adresse landete und dort schließlich ungelesen gelöscht werden konnte, sprachen die Richter der Frau nur noch 2.000 Euro Schadensersatz gem. Art. 82 DS-GVO zu.

(OLG Düsseldorf, Urteil v. 28.10.2021, Az.: 16 U 275/20)

Auch wenn eine Übermittlung personenbezogener Daten in die USA im betreffenden Fall teilweise unzulässig ist, begründet der DS-GVO-Verstoß alleine keinen Schadensersatzanspruch. Der Betroffene muss auch nachweisen, dass im durch die Datenschutzverletzung ein Nachteil (Schaden) entstanden ist.

(Az.: 17 Sa 37/20)

Fallbeschreibung:

Eine Frau schickte eine E-Mail mit Werbung für FFP2-Masken an einen Rechtsanwalt. Auf Nachfrage des Anwalts, wie sie denn an seine E-Mail-Adresse gekommen sei, erklärte sie, sie hätte nach einem Anwalt gesucht, allerdings hätte sich das rechtliche Problem inzwischen gelöst. Die E-Mail-Adresse habe sie, da ja manuell erfasst, schließlich für die Mailingaktion verwendet. Die daraufhin vom Anwalt geforderte Unterlassungserklärung gab die Frau ab. Trotzdem zog der Anwalt vor Gericht und verlangte Schadensersatz.

Entscheidung des AG Pfaffenhofen:

Das Amtsgericht (AG) Pfaffenhofen gab der Klage des Anwalts statt und sprach ihm Schadensersatz in Höhe von 300 Euro zu. In der sehr genauen Prüfung des Falles betrachtete das Gericht die Verstöße gegen die DS-GVO ausführlich und führte eine umfangreiche Interessenabwägung durch. Grundsätzlich ist die Erfassung von frei zugänglichen Adressen von Hand von den Regelungen der DS-GVO umfasst, da das Internet unstreitig zum EDV-Bereich zählt. Insgesamt stellte das Gericht fest, dass die Frau die personenbezogene E-Mail-Adresse des Rechtsanwalts gem. Art. 4 Nr. 2 DS-GVO verarbeitet hat. Nachdem als Rechtsgrundlage weder eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO, Art. 7 DS-GVO noch ein berechtigtes Interesse gem. Art. 6 Abs. 1 S. 1 lit. f) DS-GVO in Betracht kam, sprach das Gericht dem Kläger 300 Euro Schadensersatz gem. Art. 82 DS-GVO zu.

(AG Pfaffenhofen, Urteil v. 09.09.2021, Az.: 2 C 133/21)

Eine bloße Verletzung der Datenschutzvorgaben reicht nicht aus, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu begründen, sondern dem Betroffenen muss tatsächlich ein Schaden entstanden sein. Hiervon umfasst sind zwar auch Immaterielle Schäden, es ist jedoch eine objektiv benennbare Beeinträchtigung erforderlich, die über die bloße Rechtsverletzung hinausgeht. Bei einer einmaligen Nutzung personenbezogener Daten für E-Mail-Werbung ist dies nicht der Fall.

(Az.: 410d C 197/20)

Fallbeschreibung

Ein Mann kaufte bei einer Computerfirma einen neuen Computer. Er arbeitete damit und speicherte auf der Festplatte auch personenbezogene Daten. Nachdem am Computer ein Mangel aufgetreten war, reklamierte er diesen und erhielt einen neuen Computer. Die alte Festplatte verkaufte die Computerfirma in der Folgezeit unformatiert weiter. Der Käufer der gebrauchten Festplatte konnte dadurch die gespeicherten personenbezogenen Daten des Klägers, beispielweise Fotos und die Steuererklärung, einsehen.

Entscheidung des AG Hildesheim

Das AG Hildesheim stellte fest, dass dieses Vorgehen einen Verstoß gegen die europäische Datenschutzgrundverordnung (DS-GVO) darstellt. Die Computerfirma hätte die Daten auf der Festplatte löschen müssen. Es genügt nicht, dass die Firma den Kläger darauf hinwies, dass Daten von der Festplatte selbstständig gelöscht werden müssen. Diese Verlagerung der Verantwortung würde zu einem pauschalen Haftungsausschluss auf Seiten der Computerfirma führen, der dem Schutzzweck der DS-GVO widerspricht. Die Computerfirma wurde in diesem Fall zur Zahlung von Schadensersatz in Höhe von 800 Euro verurteilt, um den immateriellen Schaden des Klägers aufzuwiegen.

(AG Hildesheim, Urteil v. 15.10.2020, Az. 43 C 145/19)

Um einen Schadensersatzanspruch begründen zu können, muss der Betroffene eine eindeutige Beeinträchtigung darlegen können. Die bloße Tatsache, dass eine Datenschutzverletzung vorliegt, ist hierfür nicht ausreichend.

(Az.: 816 C 33/20)

Um einen Schadensersatzanspruch aufgrund eines Datenschutzverstoßes zu begründen, muss zwar keine schwerwiegende Persönlichkeitsrechtsverletzung vorliegen, die Verletzung muss allerdings konkret benennbar sein. Diese muss der Kläger darlegen und beweisen können. Bagatellverstöße oder das bloße Gefühl des Unbehagens genügen nicht für einen Anspruch auf Schadensersatz.

(Az.: 385 C 155/19)

Fallbeschreibung

Ein Arbeitnehmer hatte in den Jahren 2020 und 2022 von seinem Recht auf Auskunft nach Art. 15 DS-GVO Gebrauch gemacht. Während der Arbeitgeber die Datenauskunft im Jahr 2020 prompt und vollständig lieferte, reagierte er im Jahr 2022 zwei Wochen gar nicht auf die Auskunftsanfrage und legte erst kurz vor Ablauf der Monatsfrist eine unvollständige Kopie der Daten vor. Der Arbeitnehmer forderte die noch fehlenden Angaben ein und der Arbeitgeber lieferte in der Folge unfreiwillig die Angaben zur Speicherdauer der persönlichen Daten des Beschäftigten nach. Bezüglich der Empfänger der personenbezogenen Daten teilte der Arbeitgeber dem Arbeitnehmer mit, dass ihn dies nicht zu interessieren hätte. Daraufhin klagte dieser auf Vervollständigung der Datenauskunft sowie Zahlung eines Schmerzensgeldes in Höhe von 2000 Euro.

Entscheidung des ArbG Duisburg

Das Arbeitsgericht (ArbG) prüfte den Sachverhalt und schloss sich den Auffassungen des Arbeitnehmers an. Bezüglich der Speicherdauer stellt das Gericht fest, dass der Arbeitgeber dem Auskunftsersuchenden die konkrete Speicherdauer seiner Daten hätte mitteilen können, deren Beginn und Ende er ohne großen Aufwand hätte berechnen können. In Bezug auf die Empfänger der Daten erklärte das Gericht, dass in einer Datenauskunft die konkreten Empfänger benannt werden müssen. Da diese dem Arbeitgeber bekannt waren, durfte er sich nicht auf die Angabe von Kategorien von Empfängern beschränken. Aus diesen Gründen verurteilte der ArbG den Arbeitgeber nach Prüfung des Sachverhalts zur Zahlung von insgesamt 10.000 Euro Schadensersatz. Dieser setzt sich aus 5000 Euro Schadensersatz wegen einer vorsätzlich verspäteten Auskunft und aus weiteren 5000 Euro Schadensersatz wegen des unkooperativen sowie intransparenten Verhaltens des Chefs zusammen.

(ArbG Duisburg, Urteil v. 23.03.2023, Az.: 3 Ca 44/23)

In dem hier entschiedenen Fall hat der Arbeitgeber der Klägerin ein Lichtbild von der Frau ohne eine schriftliche Einverständniserklärung in einer Werbebroschüre verwendet. Aus diesem Grund hat die Mitarbeiterin einen Anspruch auf Schadensersatz bzw. Schmerzensgeld. Das Arbeitsgericht (ArbG) Münster sprach ihr nun einen Anspruch in Höhe von 5000 Euro zu.

(ArbG Münster, Urteil v. 25.03.2021, Az.: 3 Ca 391/20)

Fallbeschreibung:

Der Arbeitgeber der Klägerin ist eine Universität. Um für die Internationalität der Universität zu werben, verwendete die Universität das Bild der Klägerin in einem auf ihre Hautfarbe bezogenen Zusammenhang verwendet, denn die Ethnie der Klägerin ist auf dem Bild die zentrale Aussage. Eine Person mit weißer Hautfarbe wäre nicht herangezogen worden. Das Bild der Klägerin wurde gerade wegen ihrer Hautfarbe verwendet. Die Arbeitnehmerin war mit der Verwendung ihres Fotos nicht einverstanden und machte einen Verstoß gegen die DS-GVO und das sogenannte Recht am eigenen Bild geltend.

Entscheidung des ArbG Münster:

Die Richter erklärten in ihrem Urteil, dass die Universität bereits im Vorfeld der Werbekampagne eine schriftliche Einwilligung der Klägerin nach § 26 Abs. 2 S. 3 DS-GVO hätten einholen müssen. Zusätzlich hätte die Mitarbeiterin vorher in Textform über den Zweck der Datenverarbeitung und ihr Widerrufsrecht aufgeklärt werden müssen. Beides ist nicht passiert. Zusätzlich ist im Arbeitsverhältnis § 22 Kunsturhebergesetz (KUG) verfassungskonform dahingehend auszulegen, dass die Einwilligung der Schriftform bedarf – die gerade nicht eingehalten wurde. In der Werbebroschüre ist die Klägerin auch nicht nur untergeordnet auf dem Bild zu sehen, sodass nach § 23 KUG eine schriftliche Einwilligung nicht erforderlich gewesen wäre. Folglich hat die Klägerin gegen ihren Arbeitgeber einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO in Verbindung mit dem Kunsturheberrechtsgesetz. Das Gericht sprach ihr einen Schadensersatz in Höhe von 5000 Euro zu.

Bei immateriellen Schäden müssen Betroffene einen vollständigen und wirksamen Ersatz für ihren Schaden erhalten und Verstöße bei Unternehmen effektiv sanktioniert werden. Deshalb sprach das Arbeitsgericht einem ehemaligen Mitarbeiter 1.500 Euro Schadensersatz zu, nachdem sein ehemaliger Arbeitgeber ein Auskunftsersuchen drei Monate zu spät beantwortet hatte.

(Az.: 1 Ca 247 c/20)

Werden die Rechte und Freiheiten einer Person beeinträchtigt oder wird ihr die Kontrolle über ihre Daten entzogen, kann dies einen Schadensersatzanspruch begründen. Im betreffenden Fall erhielt ein Arbeitnehmer 5.000 Euro Schmerzensgeld von seinem ehemaligen Arbeitgeber, weil dieser sein Auskunftsersuchen nicht erfüllt hatte.

(Az.: 9 Ca 6557/18)

Werden Fotos von Arbeitnehmern auf der Facebook-Fanpage des (ehemaligen) Arbeitgebers ohne dessen schriftliche Einwilligung veröffentlicht, steht dem Betroffenen Schadensersatz zu. Für die Begründung eines Schadensersatzanspruchs ist es nicht erforderlich, dass die Verletzung des Persönlichkeitsrechts schwerwiegend ist. Das Gericht sprach dem Betroffenen einen immateriellen Schadensersatz von 1.000 Euro zu. Zugunsten des Unternehmens wurde berücksichtigt, dass der Arbeitnehmer für die Veröffentlichung seiner Daten auf der Firmenhomepage eine Einwilligung erteilt hatte.

(Az.: 1 Ca 538/19)

Fallbeschreibung

Im Jahr 2021 kam es bei Facebook, das zum Meta-Konzern gehört, zu einer Datenpanne. Hacker hatten eine Sicherheitslücke ausgenutzt und sich Zugang zu Facebook-Nutzerdaten verschafft. Daten von geschätzt 530 Millionen Facebook-Nutzern – darunter rund 6 Millionen Menschen aus Deutschland – wurden in einem Hacker-Forum veröffentlicht und waren frei zugänglich. Hier wurden auch sensible Daten wie E-Mail-Adressen und Passwörter angeboten. Zudem sollen Informationen wie Geburtstage, Arbeitgeber, Beziehungsstatus, geographische Standorte, Namen und Telefonnummern von dem Datenleck betroffen sein. In Folge erhalten Betroffene seitdem vermehrt Spam-Anrufe und Spam-Nachrichten, die täuschend echt aussehen. Einige betroffene Facebook-Kunden verlangten daraufhin immateriellen Schadensersatz in Höhe von 1000 Euro.

Entscheidung des LG Paderborn

Das Landgericht (LG) Paderborn gab den Klägern in fünf Fällen überwiegend Recht und sprach den Betroffenen jeweils einen Schadensersatz in Höhe von 500 Euro zu. Nach Ansicht des Gerichts hatte Facebook unter anderem nicht ausreichend Sicherheitsmaßnahmen getroffen, um den Datenabfluss zu verhindern und sei mitverantwortlich für die entstandenen Schaden. Der Social Media Anbieter hätte sich bewusst sein müssen, dass die Gefahr von „Scraping“ (Screen Scraping oder Web Scraping – Funktion, bei der eine Anwendung oder ein Script Informationen von einer Website oder einem Online-Dienst ausliest und speichert) besteht und entsprechend angemessene Schutzmaßnahmen ergreifen müssen. Allerdings konnte das Gericht keine besondere persönliche Betroffenheit feststellen, weshalb es den Schadensersatz von 1000 Euro auf 500 Euro reduzierte. Zugleich wurde Facebook verpflichtet, künftige Schäden, die durch den unbefugten Zugriff Dritter auf das Facebook-Datenarchiv erfolgten oder noch erfolgen werden, zu ersetzen.

(LG Paderborn, Urteile v. 19.12.2022, (Az.: 2 O 212/22; 2 O 185/22; 2 O 236/22; 3 O 99/22; 3 O 193/22)

Fallbeschreibung

In einem Gebäude in Berlin befinden sich Wohnungen und eine Kindertagesstätte (Kita). Die Kita errichtete eine Videoüberwachung, die auch auf den Innenhof des Gebäudes gerichtet war, der auch von den Mietern des Gebäudes genutzt werden durfte und in dem sich ein Spielplatz befindet. Eines Tages stellte einer der Mieter sein Fahrzeug in diesem Innenhof ab, um es für eine Urlaubsreise zu beladen. Daraufhin beschwerte sich die Kita beim Vermieter und behauptete, der Mieter habe einen Hausfriedensbruch begangen.

Es kam zum Rechtsstreit zwischen der Kita und dem Mieter, der die Videoüberwachung für rechtswidrig erachtete. Er verlangte Unterlassung und Schadensersatz, da er über einen langen Zeitraum den Innenhof wegen der Videoüberwachung nicht nutzen konnte, sowie Schmerzensgeld wegen des einhergehenden Überwachungsdrucks und der Bezichtigung als Hausfriedensbrecher.

Entscheidung des LG Berlin

In der ersten Instanz stimmte das zuständige Amtsgericht (AG) dem Kläger zu und auch der Berliner Datenschutzbeauftragte hat die Kita im Zuge dieses Vorfalls bestandskräftig mit einem Bußgeld verwarnt. Das Landgericht (LG) Berlin sah für die Datenverarbeitung der Kita ebenfalls keine Rechtsgrundlage. Bei einer Interessensabwägung nach Art. 6 Abs. 1 lit. f) DS-GVO überwiegen die Interessen des Mieters. Er musste stets damit rechnen, dass mit Betreten des Innenhofs sein Verhalten beobachtet wird. Erschwerend kam hinzu, dass es sich bei der beobachteten Fläche um einen Rückzugsbereich handelt, in dem der Mieter und dessen Kinder ihre Freizeit verbringen durften. Darüber hinaus war auch keine zeitliche Begrenzung der Speicherung der Aufnahmen ersichtlich.

Das Gericht bejahte hier sowohl einen materiellen als auch einen immateriellen Schaden, da er durch die Videoüberwachung an der mietvertraglich geregelten Nutzung des Innenhofs gehindert war. Bei der Ermittlung des Schadens wurde berücksichtigt, dass die Kita trotz Verwarnung durch die Aufsichtsbehörde, Beschwerden des Verwalters und gerichtlichem Versäumnisurteil die Überwachung fortsetzte sowie die Daten offenkundig noch speicherte und bis zum Tag der Urteilsverkündung noch verwendete. Das Gericht hielt das Versäumnisurteil der Vorinstanz aufrecht. Folglich erhielt der Kläger einen Schadensersatz in Höhe von 2.011,52 Euro und ein Schmerzensgeld in Höhe von 5.000 Euro für einen Zeitraum von 18 Monaten (jeweils zzgl. Zinsen).

(LG Berlin, Urteil v. 15.07.2022, Az.: 63 O 213/20)

Fallbeschreibung

Ein Ehepaar speicherte für eine Immobilienfinanzierung zahlreiche private Unterlagen, wie Ausweisdokumente, Steuerunterlagen und Einkommensverhältnisse, auf einem unverschlüsselten USB-Stick und warfen diesen in den Briefkasten der Bank ein. Nachdem kein Vertragsschluss zustande kam, sandte die Bank den USB-Stick per Post zurück, wobei dieser verloren ging.

Entscheidung des LG Essen

Die Klage auf Schadensersatz nach Art. 82 DS-GVO wegen Verstößen gegen Art. 24, 25 Abs. 1, 32 DS-GVO hatte keinen Erfolg. Die Richter des Landgerichts (LG) Essen stellten fest, dass die Bank gegen Art. 33 DS-GVO verstoßen hat, da sie den Verlust des USB-Sticks nicht gemeldet hatte. Auch ein Verstoß gegen Art. 34 Abs. 2 DS-GVO liegt unzweifelhaft vor, da die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person und den im Zusammenhang stehenden ergriffenen Maßnahmen unterblieben ist.

Einen Verstoß gegen Art. 24, 25 Abs. 1, 32 DS-GVO konnten die Richter aber nicht erkennen, da es datenschutzkonform ist und dem aktuellen Stand der Datensicherheit nach Art. 32 DS-GVO entspricht, wenn eingereichte unverschlüsselte USB-Sticks mit personenbezogenen Daten per einfacher Briefpost an die Absender zurückgeschickt werden. Als Begründung führten die Richter an, dass schließlich auch ausgedruckte Dokumente mit sensiblen Inhalten wie etwa Steuerbescheiden per Post versendet werden. Da es zu keiner spürbaren Beeinträchtigung von persönlichen Belangen des Klägers und seiner Ehefrau gekommen war, wiesen die Richter die Klage auf Schadensersatz zurück.

Bezüglich der Abtretung des Schadensersatzanspruchs der Ehefrau an ihren Ehemann stellten die Richter fest, dass die Ehefrau diesen an ihren Ehemann abtreten konnte, da grundsätzlich jede Forderung abtretbar ist, die hinreichend bestimmt ist und für die kein Abtretungsverbot nach §§ 399, 400 Bürgerliches Gesetzbuch (BGB) bestanden hat.

(LG Essen, Urteil v. 23.09.2021, Az. 6 O 190/21)

Fallbeschreibung

Bei einem Finanzdienstleistungsunternehmen, einem Online-Broker, kam es im Jahr 2020 zu einer Datenpanne, als sich ein ehemaliger Partner insgesamt drei Mal unbefugt Zugriff auf Kundendaten des Unternehmens verschafften. Das ehemalige Partnerunternehmen zog die Daten ab und bot sie im Darknet zum Verkauf an. Betroffen waren neben Vor- und Nachnamen, der Anschrift, der Emailadresse, der Handynummer, des Geburtsdatums, -orts und -lands, der Staatsangehörigkeit, des Familienstands und der steuerlichen Ansässigkeit auch die Steuer-ID, die IBAN, Ausweiskopien sowie Portraitfotos von 33.200 Nutzern. Nach dem dritten unbefugten Zugriff im Oktober 2020 informierte das Unternehmen die betroffenen Kunden selbst über den Verlust der 389.000 Datensätze. Einer der betroffenen Kunden reichte daraufhin eine Schadenersatzklage ein, da er künftig dauerhaft dem Risiko ausgesetzt ist, dass seine Daten missbräuchlich verwendet werden.

Entscheidung des LG München

Das Landgericht (LG) München gab der Klage des Betroffenen statt und sprach ihm einen Schadensersatz in Höhe von 2.500 Euro zu. Begründet hat das Gericht seine Entscheidung damit, dass das Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen getroffen hat, um eine sichere Datenverarbeitung zu gewährleisten und die Passwörter der Nutzer angemessen zu schützen. Insbesondere hätte das Finanzdienstleistungsunternehmen die Zugangsdaten des Partnerunternehmens nach Beendigung der Geschäftsbeziehung im Jahr 2015 ändern müssen. Dies hat das Unternehmen fahrlässig versäumt. Zwar wurden die Daten trotz des Verstoßes gegen Art. 32 DS-GVO nicht weiterverwendet, dies sei allerdings bei der Bemessung der Anspruchshöhe zu berücksichtigen. Neben diesem immateriellen Schadensersatz entschied das LG München zudem, dass das Unternehmen alle künftigen materiellen Schäden ersetzen muss, die dem Betroffenen aufgrund des Datenlecks und dem Verlust seiner Daten entstehen.

Der Online-Broker hat seine Berufung im Juli 2022 zurückgenommen, das Urteil ist damit rechtskräftig. Soweit bekannt, handelt es sich um das erste rechtskräftige Urteil zu einem Schadensersatzanspruch in Folge einer Datenpanne.

(LG München I, Urteil v. 09.12.2021, Az.: 31 O 16606/20)

Fallbeschreibung

Ausgangspunkt des Rechtsstreits war eine nicht beglichene Stromrechnung eines Betroffenen von Juni 2018. Nachdem der ausstehende Betrag in Höhe von rund 290 Euro nicht bezahlt wurde, mahnte der Stromversorger die Rechnung mehrfach an und bezog dabei auch ein Inkasso-Unternehmen mit ein. Da dies ebenfalls erfolglos blieb, folgte im Jahr 2019 ein Vollstreckungsbescheid über die Forderung, die sich inkl. Zinsen und weiteren Kosten zwischenzeitlich auf rund 490 Euro belief. Gleichzeitig erfolgte auch ein Negativeintrag bei der Schufa. Kurze Zeit später wurde der ausstehende Betrag beglichen und der Betroffene forderte die Schufa im Rahmen einer einstweiligen Verfügung zur Löschung des Eintrags auf. Die Löschung erfolgte nur wenige Tage später. Da der Betroffene angab, weder die Mahnungen noch den Mahnbescheid erhalten zu haben, empfand er den Eintrag als rechtswidrig und verlangte Schadenersatz vom Stromversorger. Der Ablauf der Einspruchsfrist sei nicht abgewartet worden.

Entscheidung des LG Mainz

Das Landgericht (LG) Mainz folgte der Argumentation des Betroffenen, dass er aufgrund des rechtswidrigen Negativeintrages bei der Schufa wirtschaftliche Nachteile erlitten hat und sprach ihm einen immateriellen Schadensersatz in Höhe von 5.000 Euro zu. Da der Stromversorger nicht beurteilen konnte, ob die Mahnungen und der Mahnbescheid inkl. der Androhung einer Meldung an die Schufa zugegangen sind, hätte das Unternehmen im Rahmen der Sorgfaltspflicht eine Karenzfrist abwarten müssen. Da dies nicht geschah, sah das Gericht die Einmeldung bei der Schufa als rechtswidrig an. Der Betroffene konnte zudem glaubhaft machen, dass ihm durch den Negativeintrag ein Imageverlust entstanden ist und seine Kreditwürdigkeit beeinträchtigt wurde.

(LG Mainz, Urteil v. 12.11.2021, Az.: 3 O 12/20)

Die unzulässige Weitergabe von persönlichen Daten eines Versicherungsnehmers an Dritte durch die Versicherung stellt eine Nebenpflichtverletzung dar, auch wenn im Versicherungsvertrag keine ausdrückliche Vertraulichkeitsregelung enthalten ist. Die Weitergabe personenbezogener Daten bedarf einer Rechtsgrundlage, wobei hier besonders hohe Anforderungen erfüllt sein müssen, wenn Gesundheitsdaten betroffen sind. Die unrechtmäßige Verarbeitung von Gesundheitsdaten stellt einen besonders schweren Verstoß gegen das allgemeine Persönlichkeitsrecht dar. Das Gericht sprach dem klagenden Betroffenen deshalb ein Schmerzenzgeld in Höhe von 10.000 Euro zu.

(Az.: 3 O 363/20)

Eine reine Befürchtung, dass ein Datenschutzverstoß negative Folgen nach sich zieht, ist nicht ausreichend, um einen Schadensersatzanspruch zu begründen. Auch beim Ersatz immaterieller Schäden muss die Verletzungshandlung eine konkrete, nicht nur unbedeutende Verletzung von Persönlichkeitsrechten der betroffenen Person verursacht haben.

(Az.: 324 S 9/19)

Nachdem ein Unternehmen die Antwort an einen Bewerber, die unter anderem seine Gehaltsvorstellungen enthielt, versehentlich an einen Dritten sendete, wurden dem Bewerber 1.000 Euro Schadensersatz zugesprochen.

(Az.: 13 O 244/19)

Das Gericht sprach einer Polizistin 5.000 Euro Schadensersatz zu, nachdem eine Band ein Musikvideo von einem Konzert, auf dem sie im Dienst zu sehen war, auf YouTube veröffentlichte. Nach dem Kunsturheberrechtsgesetz ist für eine Verbreitung und Veröffentlichung von Bildmaterial grundsätzlich die Einwilligung des Abgebildeten erforderlich (§ 22 KUG). Die Höhe der Geldentschädigung begründet das Gericht damit, dass das allgemeine Persönlichkeitsrecht der Polizistin schuldhaft verletzt wurde, der Eingriff schwerwiegend war und das Video durch seine Veröffentlichung auf YouTube weitreichend verbreitet wurde. Zudem wurde durch das Musikvideo der Gewinn der Band gesteigert. Zwar bezog sich das Gericht in seiner Entscheidung nicht auf die DS-GVO, das Ergebnis wäre hier aber wohl gleich.

(Az.: 23 O 159/18)