Urteile zum Schadensersatzanspruch bei Datenschutzverletzungen

Die DS-GVO räumt Betroffenen in Art. 82 die Möglichkeit ein, für Datenschutzverletzungen Schadensersatzansprüche gegen den verantwortlichen Datenverarbeiter geltend zu machen. Umfasst sind hiervon sowohl materielle als auch immaterielle Schäden. Nach anfänglicher Zurückhaltung neigen deutsche Gerichte immer mehr dazu, für DS-GVO-Verstöße vergleichsweise hohes Schmerzenzgeld zuzusprechen. Nach dem Datenschutzrecht soll dem Betroffenen nicht nur der erlittene Schaden ersetzt werden, sondern es soll auch eine abschreckende Wirkung erzielt werden. Wie hoch der Schadensersatz im Einzelfall ausfällt, liegt im Ermessen der Richter.

Es liegt nicht im Ermessen eines deutschen Amtsgerichts (AG), ob der Schadensersatzanspruch eines Betroffenen wegen einer unzulässigen Werbe-E-Mail als Bagatelle eingestuft und abgelehnt wurde. Eine solche Auslegung  des Art. 82 DS-GVO obliegt ausschließlich dem EuGH. Deshalb hätte das AG den Anspruch des Klägers nicht ablehnen dürfen, sondern die Frage dem EuGH weiterleiten müssen. Das BVerfG hob mit seinem Beschluss das Urteil des AG Goslar vom 27.09.2019 (Az. 28 C 7/19) auf.

(Az.: 1 BvR 28531/19)

Eine bloße Verletzung der Datenschutzvorgaben reicht nicht aus, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu begründen, sondern dem Betroffenen muss tatsächlich ein Schaden entstanden sein. Hiervon umfasst sind zwar auch Immaterielle Schäden, es ist jedoch eine objektiv benennbare Beeinträchtigung erforderlich, die über die bloße Rechtsverletzung hinausgeht. Bei einer einmaligen Nutzung personenbezogener Daten für E-Mail-Werbung ist dies nicht der Fall.

(Az.: 410d C 197/20)

Um einen Schadensersatzanspruch begründen zu können, muss der Betroffene eine eindeutige Beeinträchtigung darlegen können. Die bloße Tatsache, dass eine Datenschutzverletzung vorliegt, ist hierfür nicht ausreichend.

(Az.: 816 C 33/20)

Um einen Schadensersatzanspruch aufgrund eines Datenschutzverstoßes zu begründen, muss zwar keine schwerwiegende Persönlichkeitsrechtsverletzung vorliegen, die Verletzung muss allerdings konkret benennbar sein. Diese muss der Kläger darlegen und beweisen können. Bagatellverstöße oder das bloße Gefühl des Unbehagens genügen nicht für einen Anspruch auf Schadensersatz.

(Az.: 385 C 155/19)

Auch wenn eine Übermittlung personenbezogener Daten in die USA im betreffenden Fall teilweise unzulässig ist, begründet der DS-GVO-Verstoß alleine keinen Schadensersatzanspruch. Der Betroffene muss auch nachweisen, dass im durch die Datenschutzverletzung ein Nachteil (Schaden) entstanden ist.

(Az.: 17 Sa 37/20)

Fallbeschreibung:

Eine Frau schickte eine E-Mail mit Werbung für FFP2-Masken an einen Rechtsanwalt. Auf Nachfrage des Anwalts, wie sie denn an seine E-Mail-Adresse gekommen sei, erklärte sie, sie hätte nach einem Anwalt gesucht, allerdings hätte sich das rechtliche Problem inzwischen gelöst. Die E-Mail-Adresse habe sie, da ja manuell erfasst, schließlich für die Mailingaktion verwendet. Die daraufhin vom Anwalt geforderte Unterlassungserklärung gab die Frau ab. Trotzdem zog der Anwalt vor Gericht und verlangte Schadensersatz.

Entscheidung des AG Pfaffenhofen:

Das Amtsgericht (AG) Pfaffenhofen gab der Klage des Anwalts statt und sprach ihm Schadensersatz in Höhe von 300 Euro zu. In der sehr genauen Prüfung des Falles betrachtete das Gericht die Verstöße gegen die DS-GVO ausführlich und führte eine umfangreiche Interessenabwägung durch. Grundsätzlich ist die Erfassung von frei zugänglichen Adressen von Hand von den Regelungen der DS-GVO umfasst, da das Internet unstreitig zum EDV-Bereich zählt. Insgesamt stellte das Gericht fest, dass die Frau die personenbezogene E-Mail-Adresse des Rechtsanwalts gem. Art. 4 Nr. 2 DS-GVO verarbeitet hat. Nachdem als Rechtsgrundlage weder eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO, Art. 7 DS-GVO noch ein berechtigtes Interesse gem. Art. 6 Abs. 1 S. 1 lit. f) DS-GVO in Betracht kam, sprach das Gericht dem Kläger 300 Euro Schadensersatz gem. Art. 82 DS-GVO zu.

(AG Pfaffenhofen, Urteil v. 09.09.2021, Az.: 2 C 133/21)

In dem hier entschiedenen Fall hat der Arbeitgeber der Klägerin ein Lichtbild von der Frau ohne eine schriftliche Einverständniserklärung in einer Werbebroschüre verwendet. Aus diesem Grund hat die Mitarbeiterin einen Anspruch auf Schadensersatz bzw. Schmerzensgeld. Das Arbeitsgericht (ArbG) Münster sprach ihr nun einen Anspruch in Höhe von 5000 Euro zu.

(ArbG Münster, Urteil v. 25.03.2021, Az.: 3 Ca 391/20)

Fallbeschreibung:

Der Arbeitgeber der Klägerin ist eine Universität. Um für die Internationalität der Universität zu werben, verwendete die Universität das Bild der Klägerin in einem auf ihre Hautfarbe bezogenen Zusammenhang verwendet, denn die Ethnie der Klägerin ist auf dem Bild die zentrale Aussage. Eine Person mit weißer Hautfarbe wäre nicht herangezogen worden. Das Bild der Klägerin wurde gerade wegen ihrer Hautfarbe verwendet. Die Arbeitnehmerin war mit der Verwendung ihres Fotos nicht einverstanden und machte einen Verstoß gegen die DS-GVO und das sogenannte Recht am eigenen Bild geltend.

Entscheidung des ArbG Münster:

Die Richter erklärten in ihrem Urteil, dass die Universität bereits im Vorfeld der Werbekampagne eine schriftliche Einwilligung der Klägerin nach § 26 Abs. 2 S. 3 DS-GVO hätten einholen müssen. Zusätzlich hätte die Mitarbeiterin vorher in Textform über den Zweck der Datenverarbeitung und ihr Widerrufsrecht aufgeklärt werden müssen. Beides ist nicht passiert. Zusätzlich ist im Arbeitsverhältnis § 22 Kunsturhebergesetz (KUG) verfassungskonform dahingehend auszulegen, dass die Einwilligung der Schriftform bedarf – die gerade nicht eingehalten wurde. In der Werbebroschüre ist die Klägerin auch nicht nur untergeordnet auf dem Bild zu sehen, sodass nach § 23 KUG eine schriftliche Einwilligung nicht erforderlich gewesen wäre. Folglich hat die Klägerin gegen ihren Arbeitgeber einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO in Verbindung mit dem Kunsturheberrechtsgesetz. Das Gericht sprach ihr einen Schadensersatz in Höhe von 5000 Euro zu.

Bei immateriellen Schäden müssen Betroffene einen vollständigen und wirksamen Ersatz für ihren Schaden erhalten und Verstöße bei Unternehmen effektiv sanktioniert werden. Deshalb sprach das Arbeitsgericht einem ehemaligen Mitarbeiter 1.500 Euro Schadensersatz zu, nachdem sein ehemaliger Arbeitgeber ein Auskunftsersuchen drei Monate zu spät beantwortet hatte.

(Az.: 1 Ca 247 c/20)

Werden die Rechte und Freiheiten einer Person beeinträchtigt oder wird ihr die Kontrolle über ihre Daten entzogen, kann dies einen Schadensersatzanspruch begründen. Im betreffenden Fall erhielt ein Arbeitnehmer 5.000 Euro Schmerzensgeld von seinem ehemaligen Arbeitgeber, weil dieser sein Auskunftsersuchen nicht erfüllt hatte.

(Az.: 9 Ca 6557/18)

Werden Fotos von Arbeitnehmern auf der Facebook-Fanpage des (ehemaligen) Arbeitgebers ohne dessen schriftliche Einwilligung veröffentlicht, steht dem Betroffenen Schadensersatz zu. Für die Begründung eines Schadensersatzanspruchs ist es nicht erforderlich, dass die Verletzung des Persönlichkeitsrechts schwerwiegend ist. Das Gericht sprach dem Betroffenen einen immateriellen Schadensersatz von 1.000 Euro zu. Zugunsten des Unternehmens wurde berücksichtigt, dass der Arbeitnehmer für die Veröffentlichung seiner Daten auf der Firmenhomepage eine Einwilligung erteilt hatte.

(Az.: 1 Ca 538/19)

Fallbeschreibung

Bei einem Finanzdienstleistungsunternehmen, einem Online-Broker, kam es im Jahr 2020 zu einer Datenpanne, als sich ein ehemaliger Partner insgesamt drei Mal unbefugt Zugriff auf Kundendaten des Unternehmens verschafften. Das ehemalige Partnerunternehmen zog die Daten ab und bot sie im Darknet zum Verkauf an. Betroffen waren neben Vor- und Nachnamen, der Anschrift, der Emailadresse, der Handynummer, des Geburtsdatums, -orts und -lands, der Staatsangehörigkeit, des Familienstands und der steuerlichen Ansässigkeit auch die Steuer-ID, die IBAN, Ausweiskopien sowie Portraitfotos von 33.200 Nutzern. Nach dem dritten unbefugten Zugriff im Oktober 2020 informierte das Unternehmen die betroffenen Kunden selbst über den Verlust der 389.000 Datensätze. Einer der betroffenen Kunden reichte daraufhin eine Schadenersatzklage ein, da er künftig dauerhaft dem Risiko ausgesetzt ist, dass seine Daten missbräuchlich verwendet werden.

Entscheidung des LG München

Das Landgericht (LG) München gab der Klage des Betroffenen statt und sprach ihm einen Schadensersatz in Höhe von 2.500 Euro zu. Begründet hat das Gericht seine Entscheidung damit, dass das Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen getroffen hat, um eine sichere Datenverarbeitung zu gewährleisten und die Passwörter der Nutzer angemessen zu schützen. Insbesondere hätte das Finanzdienstleistungsunternehmen die Zugangsdaten des Partnerunternehmens nach Beendigung der Geschäftsbeziehung im Jahr 2015 ändern müssen. Dies hat das Unternehmen fahrlässig versäumt. Zwar wurden die Daten trotz des Verstoßes gegen Art. 32 DS-GVO nicht weiterverwendet, dies sei allerdings bei der Bemessung der Anspruchshöhe zu berücksichtigen. Neben diesem immateriellen Schadensersatz entschied das LG München zudem, dass das Unternehmen alle künftigen materiellen Schäden ersetzen muss, die dem Betroffenen aufgrund des Datenlecks und dem Verlust seiner Daten entstehen.

(LG München, Urteil v. 09.12.2021, Az.: 31 O 16606/20)

Fallbeschreibung

Ausgangspunkt des Rechtsstreits war eine nicht beglichene Stromrechnung eines Betroffenen von Juni 2018. Nachdem der ausstehende Betrag in Höhe von rund 290 Euro nicht bezahlt wurde, mahnte der Stromversorger die Rechnung mehrfach an und bezog dabei auch ein Inkasso-Unternehmen mit ein. Da dies ebenfalls erfolglos blieb, folgte im Jahr 2019 ein Vollstreckungsbescheid über die Forderung, die sich inkl. Zinsen und weiteren Kosten zwischenzeitlich auf rund 490 Euro belief. Gleichzeitig erfolgte auch ein Negativeintrag bei der Schufa. Kurze Zeit später wurde der ausstehende Betrag beglichen und der Betroffene forderte die Schufa im Rahmen einer einstweiligen Verfügung zur Löschung des Eintrags auf. Die Löschung erfolgte nur wenige Tage später. Da der Betroffene angab, weder die Mahnungen noch den Mahnbescheid erhalten zu haben, empfand er den Eintrag als rechtswidrig und verlangte Schadenersatz vom Stromversorger. Der Ablauf der Einspruchsfrist sei nicht abgewartet worden.

Entscheidung des LG Mainz

Das Landgericht (LG) Mainz folgte der Argumentation des Betroffenen, dass er aufgrund des rechtswidrigen Negativeintrages bei der Schufa wirtschaftliche Nachteile erlitten hat und sprach ihm einen immateriellen Schadensersatz in Höhe von 5.000 Euro zu. Da der Stromversorger nicht beurteilen konnte, ob die Mahnungen und der Mahnbescheid inkl. der Androhung einer Meldung an die Schufa zugegangen sind, hätte das Unternehmen im Rahmen der Sorgfaltspflicht eine Karenzfrist abwarten müssen. Da dies nicht geschah, sah das Gericht die Einmeldung bei der Schufa als rechtswidrig an. Der Betroffene konnte zudem glaubhaft machen, dass ihm durch den Negativeintrag ein Imageverlust entstanden ist und seine Kreditwürdigkeit beeinträchtigt wurde.

(LG Mainz, Urteil v. 12.11.2021, Az.: 3 O 12/20)

Die unzulässige Weitergabe von persönlichen Daten eines Versicherungsnehmers an Dritte durch die Versicherung stellt eine Nebenpflichtverletzung dar, auch wenn im Versicherungsvertrag keine ausdrückliche Vertraulichkeitsregelung enthalten ist. Die Weitergabe personenbezogener Daten bedarf einer Rechtsgrundlage, wobei hier besonders hohe Anforderungen erfüllt sein müssen, wenn Gesundheitsdaten betroffen sind. Die unrechtmäßige Verarbeitung von Gesundheitsdaten stellt einen besonders schweren Verstoß gegen das allgemeine Persönlichkeitsrecht dar. Das Gericht sprach dem klagenden Betroffenen deshalb ein Schmerzenzgeld in Höhe von 10.000 Euro zu.

(Az.: 3 O 363/20)

Eine reine Befürchtung, dass ein Datenschutzverstoß negative Folgen nach sich zieht, ist nicht ausreichend, um einen Schadensersatzanspruch zu begründen. Auch beim Ersatz immaterieller Schäden muss die Verletzungshandlung eine konkrete, nicht nur unbedeutende Verletzung von Persönlichkeitsrechten der betroffenen Person verursacht haben.

(Az.: 324 S 9/19)

Nachdem ein Unternehmen die Antwort an einen Bewerber, die unter anderem seine Gehaltsvorstellungen enthielt, versehentlich an einen Dritten sendete, wurden dem Bewerber 1.000 Euro Schadensersatz zugesprochen.

(Az.: 13 O 244/19)

Das Gericht sprach einer Polizistin 5.000 Euro Schadensersatz zu, nachdem eine Band ein Musikvideo von einem Konzert, auf dem sie im Dienst zu sehen war, auf YouTube veröffentlichte. Nach dem Kunsturheberrechtsgesetz ist für eine Verbreitung und Veröffentlichung von Bildmaterial grundsätzlich die Einwilligung des Abgebildeten erforderlich (§ 22 KUG). Die Höhe der Geldentschädigung begründet das Gericht damit, dass das allgemeine Persönlichkeitsrecht der Polizistin schuldhaft verletzt wurde, der Eingriff schwerwiegend war und das Video durch seine Veröffentlichung auf YouTube weitreichend verbreitet wurde. Zudem wurde durch das Musikvideo der Gewinn der Band gesteigert. Zwar bezog sich das Gericht in seiner Entscheidung nicht auf die DS-GVO, das Ergebnis wäre hier aber wohl gleich.

(Az.: 23 O 159/18)