Das Amtsgericht Frankfurt am Main und das Landgericht Hamburg setzen die Serie der Urteile deutscher Zivilgerichte fort, die Schadensersatz wegen immaterieller Schäden infolge von Verstößen gegen das Datenschutzrecht nicht großzügig verteilen. Auf einen Beitrag aus Februar 2020, der die deutsche Rechtsprechung zu Ende 2019 skizziert, wird hingewiesen. Mit seinem Urteil vom 10.Juli 2020 entschied das AG Frankfurt a.M., dass es einer ernsthaften Beeinträchtigung bedürfe, um Schadensersatzansprüche geltend machen zu können. Ein bloßes Unbehagen oder ein Bagatellverstoß sollen nicht ausreichen. Ganz ähnlich urteilte das Landgericht Hamburg am 4.September 2020 .
1. AG Frankfurt / Main
Die Beklagte speicherte Daten des Klägers, die dieser anlässlich mehrfacher Hotelübernachtungen bei seinen Buchungen angegeben hatte, in einem Registrierungssystem. Zu den Daten zählten u.a. Name, Anschrift, Kreditkartennummer und Passnummer sowie Daten, die während des Aufenthaltes des Klägers in den Hotels gesammelt wurden wie Angaben zu Minibar und Snacks. Das von der Beklagten verwendete System hatte ein Datenleck, so dass gespeicherte Daten an unbefugte Dritte gelangen konnten. Hiervon erfuhr der Kläger aus der Presse.
Der Kläger machte geltend, er müsse mit einem Gefühl des Unbehagens leben, dass seine personenbezogenen Daten noch künftig unbefugt verwendet werden können und beansprucht Schadensersatz in Höhe von 1.500 Euro. Er begehrte ferner die Feststellung, dass die Beklagte dem Kläger sämtliche Schäden zu ersetzen habe, die ihm künftig wegen des unbefugten Zugangs zu den personenbezogenen Daten des Klägers in der Datenbank für Gästereservation der Beklagten entstehen, insbesondere Schäden wegen Kopien dieser Daten, die nicht autorisierte Parteien aus der Datenbank in der Zeit von 2014 bis November 2018 gefertigt haben.
Allein ein Verstoß gegen Datenschutzrecht vermöge einen Schadensersatzanspruch wegen erlittener immaterieller Schäden nach Art.82 DSGVO nicht zu begründen. Es bedürfe eines „kausalen Schadens“. Zwar seien Persönlichkeitsrechtsverletzungen ersatzfähig, allerdings müsse „die Beeinträchtigung objektiv nachvollziehbar und feststellbar sein.“ „Eine solche Verletzung muss zwar nicht schwerwiegend, aber dennoch spürbar sein …. Eine individuell empfundene Unannehmlichkeit oder ein Bagatellverstoß ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person reicht dafür nicht aus.“ Nach Auffassung des Amtsgerichts könnten dies gesellschaftliche oder persönliche Nachteile wie etwa eine öffentliche Bloßstellung sein. Ein Gefühl des Unbehagens wegen des Datenlecks wertete das Amtsgericht geringer. Und auch die bloße Tatsache, dass ein Unbefugter wissen könne, welche Snacks der Kläger bei seinem Aufenthalt konsumierte, seien zur Feststellung eines immateriellen Schadens nicht geeignet.
Eine Beweiserleichterung zugunsten des Klägers solle lediglich insoweit bestehen, als er – die Verletzung von Datenschutzpflichten und einen Schaden einmal belegt – den kausalen Zusammenhang zwischen Verletzung und Schaden nicht darlegen und beweisen müsse. Was umgekehrt bedeutet, der Kläger müsse einen Schaden darlegen und beweisen, nicht die Beklagte, dass ein Schaden nicht eingetreten ist.
2. LG Hamburg
Ähnlich urteilte das LG Hamburg (das gemäß § 540 Abs. 1 S. 1 Nr. 1 ZPO als Berufungsgericht den Tatbestand in sein Urteil nicht aufnahm, auf dessen Wiedergabe daher hier verzichtet wird). Voraussetzung für einen Schadensersatz sei u.a. ein durch den Verstoß gegen die DSGVO erlittener Schaden (Urteil RN 32). Unter Berufung auf Erwägungsgrund 85 der DSGVO könne dies ein physischer, materieller oder immaterieller Schaden sein – wie etwa der Verlust der Kontrolle über die personenbezogenen Daten oder Einschränkung der Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung (Urteil RN 33).
Zwar bedürfe es auch nach Ansicht des LG Hamburg keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen. Dennoch führe nicht bereits jeder Verstoß gegen die DSGVO zu einer Schadensersatzpflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen könne (Urteil RN 34).
Datenschutzrecht
Art. 82 DSGVO