Verstoß gegen DS-GVO führt nicht zwingend zu Schadensersatzanspruch

26.10.2020 – von Jörn Tröber, Fachanwalt für IT-Recht
Allein der Verstoß gegen datenschutzrechtliche Vorschriften macht den Verantwortlichen nicht automatisch nach Art. 82 DSGVO oder sonst einem rechtlichen Aspekt schadensersatzpflichtig. Vielmehr ist ein tatsächlich eingetretener Schaden beim Betroffenen erforderlich. Dies bestätigte nun das Landgericht Hamburg.

Bloße Befürchtung von Nachteilen reicht nicht

Schon das Amtsgericht (AG Hamburg-Barmbek, Urt. v. 15.11.2019 - 821 C 206/18) stellte in seiner Urteilsbegründung klar, dass der Art. 82 DS-GVO durchaus eine Erstattungspflicht für immaterielle Schäden vorsehe und diese auch nicht etwa auf schwere Schäden beschränkt sei. Jedoch führe die Verletzung von Vorschriften des Datenschutzrechts nicht zwingend zu einem Schadensersatzanspruch, wenn Persönlichkeitsrechte nur unbedeutend oder lediglich nach dem persönlichen Empfinden des Betroffenen verletzt wurden. Auch das Landgericht hebt in seiner Entscheidung vom 4. September 2020 - Az.: 324 S 9/19 hervor, dass dem Ausgleich eines immateriellen Schadens eine benennbare und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen muss. Wenn die Klägerin - wie im zu entscheidenden Fall - den Eintritt von Nachteilen nur befürchte, könne von so einer Verletzung nicht ausgegangen werden, sodass ein Schaden zu verneinen sei. Anders verhielte es sich beispielsweise, wenn in der unrechtmäßigen Veröffentlichung der Daten eine „Bloßstellung“ liege. Dies machte bereits das LG Karlsruhe in einem Urteil aus dem August letzten Jahres deutlich, als es sich mit einem ähnlichen Sachverhalt beschäftigte.

Im zu entscheidenden Fall hatte unterhielt der Beklagte eine Webseite mit einem Formular zum Eintragen von Terminen. Die Klägerin hatte das vorhandene Terminformular für eine Terminanfrage genutzt. Aus dem im Internet öffentlich einsehbaren Terminformular war für Dritte erkennbar, dass die Klägerin sich im Urlaub befand und sich mit mit unverfänglichen Motiven (u.a Blumen) tätowieren lassen wollte. Da sie in eine Veröffentlichung nicht eingewilligt hatte, forderte sie Schadensersatz.

Vorläufige Einschätzung

Die Befürchtung, dass unter Zugrundelegung der aktuellen Rechtsprechung des Landgerichts Hamburg Verletzungen gegen Datenschutzrecht sanktionslos bleiben könnten, erscheint auf den ersten Blick nachvollziehbar. Überschreitet eine Verletzungshandlung jedoch die Erheblichkeitsschwelle wegen einer konkreten Verletzung des Rechts auf informationelle Selbstbestimmung der betroffenen Person, bleibt es dabei, dass Schadensersatzansprüche auch wegen eines immateriellen Schadens entstehen können. Immerhin hat die Rechtsprechung jetzt einen Weg gefunden, um "Querulanten" Grenzen aufzuzeigen. Die in der anwaltlichen Praxis bei Datenschutzverstößen zunehmend zu vernehmende Frage "Kann ich da nicht Schmerzensgeld verlangen", wird man daher in jedem Einzelfall betrachten müssen.

Update Dezember 2020 - LG Landshut: Kein Schmerzensgeld bei Bagatellverstößen

Auch das Landgericht Landsgut (Urt. v. 06.11.2020 – 51 O 513/20) schließt einen Schmerzensgeldanspruch aus Art. 82 Abs. 1 DSGVO bei Bagatellverstößen aus. Im konkreten Fall war von der Beklagten per E-Mail eine Tagesordnung an 70 unterschiedliche Wohnungseigentümer übersandt worden, aus der sich ein Legionellenbefall der Wohnung des Klägers ergab. Die Klage auf Ersatz eines immateriellen Schadens wurde abgewiesen. Zur Begründung führte das Landgericht aus:

"Auch ein Anspruch auf Ersatz eines immateriellen Schadens steht dem Kläger nicht zu. Art. 82 Abs. 1 DSGVO sieht zwar eine Erstattungspflicht für immaterielle Schäden vor. Diese Pflicht ist auch nicht nur auf schwere Schäden beschränkt. Allein die Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (vgl. Landgericht Hamburg, Urteil vom 04.09.2020 -324 S 9/19- juris). Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollzeihbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (Plath, Art. 82 DSGVO Rn. 4 c, d). Würde man hier einen Datenschutzverstoß durch den streitgegenständlichen Tagesordnungspunkt bejahen, läge hiernach den genannten Kriterien kein Fall vor, der die Zuerkennung des Schmerzensgeldes rechtfertigen könnte.

Über Jörn Tröber, Fachanwalt für IT-Recht

Jörn Tröber, Partner und Kanzleigründer von TRÖBER@ legal, berät seit über 30 Jahren Mandanten in IT-rechtlichen Fragen. Als Fachanwalt für IT-Recht ist er insbesondere auf die Gestaltung und Verhandlung von IT-Verträgen spezialisiert.

Das könnte Sie auch interessieren