Nachdem wir kürzlich sowohl über Mastercard (kein Schmerzensgeld wegen nicht dargelegten Datenschutzverstoß) als auch über Schmerzensgeld bei Bagatellen berichtet hatten, geht es nunmehr um ein Urteil, in dem es um Mastercard und Schmerzensgeld wegen einer Bagatelle geht.
Das Datenleck, der treue Begleiter im Internet
Wie in der Besprechung des letzten Urteils zu Mastercard geht es um deren Kundenbindungsprogramm, bei dem sich ein Verbraucher als Inhaber der Mastercard unter Nennung seiner Kontaktdaten und Kreditkartennummer angemeldet hatte. Die Datenbank des Programms wurde gehackt und diese Daten entwendet. Darüber informierte Mastercard auch den Verbraucher. Seitdem waren die Daten des Verbrauchers im Internet verfügbar. Außerdem befürchtete der Kläger, dass Daten zur Einkaufshistorie entwendet wurden.
Vor Gericht macht er nun einen Schmerzensgeldanspruch in Höhe von mindestens 5.000 Euro geltend und begründet dies damit, dass diese Daten für einen „Identitätsbetrug“, betrügerische Bestellungen im Internet, unverlangte Werbeanrufe, Phishing-E-Mails und SPAM genutzt werden könnten. Auch Daten zur Einkaufshistorie ließen detaillierte Einblicke in seine Persönlichkeit zu.
Nicht schwer, aber fühlbar
Das Gericht erkennt zunächst an, dass keine schwere Verletzung des Persönlichkeitsrechts mehr notwendig sei um Schmerzensgeld zu bekommen. Allerdings führe nicht jeder Verstoß gegen die DSGVO aus generalpräventiven Gründen zu einem Schmerzensgeld. Damit schließt sich das Gericht der Ansicht des Landgerichts Karlsruhe an.
Weiter fordert das Gericht einen spürbaren Nachteil, um überhaupt einen Anspruch auf Schmerzensgeld nach der DSGVO haben zu können. Zwar fordere die DSGVO einen vollständigen und wirksamen Schadensersatz für einen erlittenen Schaden, der sich in Schmerzensgeld ausdrücken könne, allerdings sei Art. 82 DSGVO, der den Schmerzensgeldanspruch regelt, nicht so auszulegen, dass bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründe. Damit schließt sich das Gericht der Rechtsmeinung des OLG Dresden an.
Missbrauch von Schmerzensgeldklagen vorbeugen
Gegen eine Ausdehnung des Schmerzensgelds auf Bagatellschäden spreche das erhebliche Missbrauchsrisiko, das mit der Schaffung eines voraussetzungslosen Anspruchs im Datenschutzrechts einherginge.
Soweit es um Daten, wie Name, Geburtsdatum, Geschlecht, E-Mail-Adresse oder Telefonnummer gehe, so sei ein Identitätsdiebstahl allenfalls ein abstraktes nicht sonderlich wahrscheinliches Risiko, solange dieser Fall noch nicht eingetreten sei. Vorhersehbare künftige Geschehen seien zwar einzubeziehen, nicht aber bloß mögliche Schäden.
Soweit SPAM und Phishingnachrichten an den Verbraucher gesandt wurden, sah das Gericht keinen erwiesenen Zusammenhang zwischen dem Datenleck und den Nachrichten. Auch die ggf. entwendete Einkaufshistorie, die nach der Feststellung des Gerichts Angaben zum Tanken, Essen in FastFood-Restaurants und Einkauf bei Discountern beinhaltete, habe keine kompromittierenden Inhalte, die über eine Bagatelle hinausgingen.
Fazit
Mehr und mehr wird deutlich, dass sich – anders als bei der Frage der Beweislast für die Ursache – keine einheitliche Rechtsprechung für die Erforderlichkeit der Schwere des „Schmerzes“ für einen begründeten Anspruch aus der DSGVO bildet. So ist zu erwarten, dass sich demnächst der EuGH mit diesem Thema beschäftigen muss.