DSGVO-Schadensersatz nach Art. 82 DSGVO

Die DSGVO räumt Betroffenen bei Datenschutzverletzungen grundsätzlich Schadensersatzansprüche zu. Hierzu zählen im Unterschied zu früher (Zeiten vor der DSGVO) auch immaterielle Schadensersatzansprüche. Mithin kommen nun bei Datenschutzverletzungen auch Schmerzensgeldansprüche der Betroffenen als immaterielle Schadensersatzansprüche in Betracht. Die maßgebende Norm dafür in der DSGVO ist Art. 82 DSGVO. 

Erste Rechtsprechung neigt zu einer restriktiven Auslegung in Sachen DSGVO-Schadensersatz

So hat kürzlich das Landgericht Köln (LG Köln) in einem Urteil vom 07.10.2020 entschieden, dass der Klägerin kein Schadensersatzanspruch in Form von Schmerzensgeld nach Art. 82 DSGVO gegen ihre Bank zusteht (vgl. LG Köln, Urt. v. 07.10.2020, Az.: 28 O 71/20). Hintergrund der Entscheidung war, dass die Klägerin nach dem Tod ihrer Mutter im Jahre 2015 das Konto dieser übernommen hatte. Bis zum Tod der Mutter war für diese ein Anwalt als Betreuer bestellt worden. An den Betreuer hatte die beklagte Hausbank zuvor stets die Kontoauszüge der Mutter zugesandt. 

Nach dem Tod der Mutter hatte es die beklagte Bank dann wohl versäumt, die Korrespondenzanschrift des Betreuers zu löschen bzw. die Angaben auf die Klägerin zu aktualisieren. Im Dezember des Jahres 2019 kam es dann zu der zugrundeliegenden Datenschutzpanne seitens der Bank. Diese hatte nämlich dem damaligen Betreuer der Mutter Kontoauszüge der Klägerin übersandt, obwohl der Betreuer nichts mehr mit der Klägerin zu tun hatte. Sodann leitete der Rechtsanwalt (damaliger Betreuter) sofort die Kontoauszüge an die Klägerin weiter.

Diese nahm den Vorfall zum Anlass, ihre Bank vorgerichtlich abzumahnen. Sie forderte von der Bank Auskunft, die Abgabe einer Unterlassungserklärung sowie ein Schmerzensgeld in Höhe von 25.000,00 EUR

Gerichtliches Verfahren vor dem LG Köln

Da die Bank zwar die begehrte Auskunft vorgerichtlich erteilte, jedoch die übrigen Ansprüche zurückwies, verklagte die Klägerin ihre Hausbank auf ein angemessenes Schmerzensgeld sowie auf Zahlung von vorgerichtlichen Rechtsanwaltskosten von ca. 2.000,00 EUR.

Nach Ansicht der Klägerin stellte die Weitergabe der Bankdaten an einen Dritten eine grobe Verletzung aus dem Girovertrag sowie einen schweren Verstoß gegen die DSGVO dar. Dem widersprach das LG Köln mit der folgenden Begründung:

"Unabhängig davon, dass es – wie von der Beklagten zu Recht bemängelt – an einer substantiierten Darlegung eines immateriellen Schadens fehlt, handelt es sich vorliegend bei dem Datenschutzverstoß nach Art, Schwere, Dauer und Umfang des Verstoßes um einen Bagatellfall, der auch unter Berücksichtigung der weiteren Umstände des Einzelfalls die Zuerkennung eines Schmerzensgeldes nicht rechtfertigen kann. Es erfolgte eine einmalige und erstmalige Übersendung eines wenige Blätter umfassenden Kontoauszugs an einen falschen Empfänger. Anzumerken ist, dass durch die Klägerin im Übrigen bereits nicht dargelegt wurde, dass Rechtsanwalt (…) überhaupt Kenntnis vom Inhalt des Schreibens genommen hat, insoweit sprechen vielmehr der entsprechende Eingangsstempel der Kanzlei (…) und das Durchstreichen des Adressfelds wesentlich dagegen. Jedenfalls erfolgte auch nach dem Vortrag der Klägerin keine Weitergabe der Kontoauszüge an weitere Personen, sondern unmittelbar ein Weiterversand an die Klägerin. Grundlage der Fehlversendung war eine versehentliche Falscherfassung im System der Beklagten, die unmittelbar nach Kenntnisnahme korrigiert wurde. Das Zuerkennen von Schmerzensgeld in derartigen Bagatellfällen würde die Gefahr einer nahezu uferlosen Häufung der Geltendmachung von Ansprüchen bergen, was nicht Sinn und Zweck von Art. 82 DSGVO entsprechen kann. Die Kammer übersieht bei ihrer Gesamtwürdigung unter Berücksichtigung der Kriterien des Art. 83 Abs. 2 DSGVO nicht, dass die Klägerin den vorliegenden Vorgang als subjektiv sehr belastend empfinden mag, hält aber dennoch insgesamt das Zusprechen eines Schmerzensgeldes für nicht vertretbar.“

Fazit

Meiner Ansicht nach sind das relativ deutliche Worte des LG Köln. Das LG Köln nimmt hier also bei der einmaligen Falschzusendung von Kontoauszügen einen Bagatellverstoß an, der keine Schadensersatzansprüche nach der DSGVO nach sich zieht. Letztendlich wird man wohl sagen können, dass die Gerichte bei einfachen Bagatellverstößen gegen die DSGVO keinen DSGVO-Schadensersatz zusprechen. 

Externen Datenschutzbeauftragen über yourXpert engagieren:

Im Bedarfsfall stehe ich Ihnen auch als externer Datenschutzbeauftragter hier über yourXpert zur Verfügung. Neben meiner anwaltlichen Tätigkeit bin ich zertifizierter externer Datenschutzbeauftragter (TÜV) und zertifizierter Datenschutzauditor (TÜV). Mein Profil als externer Datenschutzbeauftragter bei yourXpert finden Sie unter dem nachfolgenden Link:

https://www.yourxpert.de/xpert/datenschutzbeauftragter/bernhard.schulte

(Die Trennung von anwaltlicher Tätigkeit und der Tätigkeit als DSB erfolgt aufgrund steuerrechtlicher Gründe.)

Ansonsten stehe ich Ihnen gerne zu datenschutzrechtlichen Fragen zur Verfügung! Sprechen Sie mich einfach an, z.B. im Rahmen einer Fragestellung hier über yourXpert!

Ihr Rechtsanwalt Schulte

Rechtsanwalt, Datenschutzauditor (TÜV) und externer Datenschutzbeauftragter (TÜV)