Wenn es um Datenschutzverstöße geht, stehen meist die zum Teil horrenden Bußgelder der Aufsichtsbehörden im Fokus der Berichterstattung. Dabei können DSGVO Verstöße auch Schadenersatzansprüche der betroffenen Person(en) nach sich ziehen und somit auch für unangenehme Post während der Weihnachtszeit sorgen. Gerade in der Praxis sehen wir, dass sich Schadensersatzforderungen wegen Datenschutzverstößen häufen. Insbesondere im Online-Handel lässt sich feststellen, dass immer mehr Betroffene hiervon Gebrauch machen bzw. dieses zumindest versuchen. Dies reicht z.B. vom fehlversendeten Lieferschein oder Rechnung bis hin zu (behaupteten) nicht fristgerechten oder vollständig erteilten Auskunftsersuchen.
Rechtsnorm für solche Schadenersatzforderungen ist Art. 82 DSGVO. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz.
Dabei führt nicht jeder Datenschutzverstoß automatisch zu einem Anspruch auf selbiges. Erwägungsgrund 146 der DSGVO geht davon aus, dass der Begriff des „Schadens“ weit ausgelegt werden soll. Ergänzend ist von einem „entstandenen Schaden“ die Rede, mithin ein konkreter, über die Verletzungshandlung hinausgehender Schaden.
Für die Praxis bedeutet dies, dass der Betroffene objektiv nachvollziehbare, erhebliche und spürbare gesellschaftliche oder persönliche Nachteile erlitten haben muss, z.B. eine Diskriminierung oder Rufschädigung (vgl. Erwägungsgrund 85 der DSGVO). Bloße Bagatellfälle genügen für den Zuspruch eines Schadenersatzes nicht aus.
Mittlerweile sind bereits mehrere Gerichtsurteile in diesen Fällen ergangen und festigen eine anfängliche Rechtsprechung.
So hat z.B. das Landgericht Landshut festgestellt, dass bei nur leichten, unerheblichen Rechtsverstößen kein DSGVO-Schadensersatz nach Art. 82 DSGVO in Betracht komme (LG Landshut, Urt. v. 05.11.2020 – Az.: 51 O 513/20). Gegenstand des Verfahrens war die Veröffentlichung eines Legionärszellen-Befalls im Rahmen einer Einladung zur Eigentümerversammlung. Der Kläger, dessen Wohnung betroffen war, wurde in der Tagesordnung namentlich benannt. Das Gericht urteilte, dass bereits keine Datenschutzverletzung vorliege, da die Benennung des Klägers in der Tagesordnung sachlich gerechtfertigt sei.
So ähnlich urteilte auch das Landgericht Köln, welches bloße Unannehmlichkeiten oder unerhebliche Beeinträchtigungen nicht als ausreichend für den Zuspruch eines immateriellen Schadens erachtete (LG Köln, Urt. v. 07.10.2020 – Az.: 28 O 71/20). Gegenstand dieses Verfahrens war die einmalige Falschzusendung von Kontoauszügen an Dritte durch die eigene Hausbank. Das Gericht argumentierte, dass andernfalls die Gefahr einer uferlosen Haftung bestehe.
Auch bloße Befürchtungen von Nachteilen aufgrund einer rechtswidrigen Offenlegung der Daten oder möglichen unbefugten Nutzung sahen die Gerichte bisher als nicht ausreichend für einen Schadenersatzanspruch an (vergl. LG Hamburg mit Urteil vom 4. September 2020, Az. 324 S 9/19; LG Frankfurt a.M., Urt. v. 03.09.2020 – Az.: 2-03 O 48/19).
Dennoch lässt sich derzeit noch nicht festlegen, wann die Erheblichkeitsschwelle für einen Zuspruch von immateriellem Schadenersatz überschritten ist. Die bisherigen gerichtlichen Entscheidungen zeigen jedoch, dass deutsche Gerichte den Art. 82 Abs. 1 DSGVO bislang restriktiv anwenden und der Anspruchsteller stets einen konkreten Schaden darlegen muss. Ob es bei dieser restriktiven Anwendung des Art. 82 Abs. 1 DSGVO bleibt, wird sich noch zeigen.