Jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat nach Art. 82 DSGVO einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter. Im Urteil vom 2.8.2019 stellte das Landgericht Karlsruhe (Az.: 8 O 26/19) fest, dass dieser Anspruch jedoch nicht bei jedem Verstoß gegen die DSGVO entsteht.
Die Klägerin im Fall begehrte von der Beklagten, einer sog. Auskunftei, immateriellen Schadensersatz aufgrund unrichtiger Datenspeicherung und -verarbeitung.
Auskunfteien geben auf Anfrage Auskunft über die Kreditwürdigkeit von potentiellen Kunden. Um diese Bewertung vornehmen zu können, werden den Auskunfteien Daten über die Personen von Unternehmen, mit denen disee Personen in vertraglichen Beziehungen stehen, übermittelt. Aus diesen Informationen wird ein „Score“ ermittelt, der die Bonität und Risikoeinstufung des möglichen Vertragspartners zum Ausdruck bringt.
Die Klägerin war der Auffassung, dass ihr durch die Auskunftei ein zu schlechter Basisscore zugeteilt wurde, infolge dessen ihr ein Kreditvertrag zum Erwerb eines Kraftfahrzeugs verwehrt worden sei. Sie habe alle ihre laufenden Kreditschulden stets fristgerecht bedient und auch ein adäquates Einkommen, um den neuen Kreditvertrag abzubezahlen. Die unterlassene Korrektur des vermeintlich fehlerhaften Scores sei ein Verstoß gegen Art. 16 DSGVO und berechtige sie Schadensersatz in Höhe von 10.000€ gegen die Auskunftei nach Art. 82 Abs. 1 DSGVO geltend zu machen.
Die beklagte Auskunftei trug vor, dass die dem Scorewert zugrundeliegenden Daten zutreffend gespeichert wurden. Der Scorewert selbst stelle keine Tatsachen- sondern Meinungsäußerung dar. Er basiere auf einem wissenschaftlich anerkannten mathematisch-statistischen Verfahren, welches die Auskunftei gesetzlich nicht offenlegen müsse und auch nicht wolle. Das Verfahren werde aber regelmäßig durch angesehene Institute überprüft und für aussagekräftig befunden.
Das Landgericht gab der Kreditauskunftei Recht, und lehnte das Begehren nach Schadensersatz der Klägerin ab.
Das Gericht sah schon keinen Verstoß gegen die DSGVO gegeben:
Der Scorewert selbst ist im Ergebnis ein subjektives Werturteil, also eine Meinungsäußerung der Auskunftei (…), deren Richtigkeit für die Aufsichtsbehörden und die Gerichte nur beschränkt überprüfbar ist (…). Soweit die Klägerin daher bemängelt, die Beklagte habe, basierend auf den ihr mitgeteilten Daten, für die Klägerin einen Scorewert von 90,55 % im März 2018 und 89,40 % im November 2018 ermittelt, was den Bewertungsstufen „zufriedenstellendes bis erhöhtes Risiko“ bzw. „deutlich erhöhtes bis hohes Risiko“ einer Ausfallwahrscheinlichkeit bedeute, stellt diese Beurteilung ohne weitere Umstände keinen Verstoß gegen die DSGVO dar.
Der Klägerin stehe aber durchaus zu sich dann zu wehren, wenn der Scorewert aus einer Tatsachengrundlage entwickelt wurde, die nachweislich falsch ist.
Dementsprechend stehen ihr auch die Rechte aus der DSGVO zu, insbesondere kann sie von der Beklagten unentgeltliche Auskunft (Art. 15 DSGVO), Berichtigung und Löschung (Art. 16 DSGVO, Art. 17 DSGVO) oder eine Einschränkung der Verarbeitung (Art. 18 DSGVO) verlangen.
Einen entsprechenden Vortrag, welche Daten unvollständig oder falsch in die Beurteilung eingeflossen sind, hat die Klägerin aber nicht gehalten.
Das LG Karlsruhe war zudem der Auffassung, dass der Klägerin, selbst wenn man einen Verstoß gegen die DSGVO unterstellen würde, kein Schaden entstanden ist.
Für das Vorliegen eines immateriellen Schadens bedürfe es seit dem Wegfall von § 8 Abs. 2 BDSG a.F zwar nicht mehr einer schweren Verletzung des Persönlichkeitsrechts, allerdings müsse eine tatsächliche Verletzung vorliegen.
Dennoch ist die Annahme, dass nunmehr jeder Verstoß gegen die DSGVO allein aus generalpräventiven Gründen zu einer Ausgleichspflicht führt, unzutreffend, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die beispielsweise in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (…).
Die Ablehnung eines Kreditvertrages durch ein Kreditinstitut entspreche nicht einer entschädigungspflichtigen Persönlichkeitsverletzung. Zudem sei nicht nachgewiesen worden, dass die Ablehnung auf den niedrig festgelegten Score durch die Auskunftei zurückzuführen ist. Die Klägerin hätte selbstständig ihre Bonität gegenüber der Bank belegen können und hätte keinen Anspruch auf Abschluss eines Kreditvertrages zum Zwecke des Konsums.
Die Voraussetzungen der Schadensersatzpflicht nach Art. 82 DSGVO sind noch nicht abschließend geklärt. Dennoch zeichnet sich mittlerweile ab, dass nicht jeder Verstoß gegen das Gesetz einen Schadensersatzanspruch auslöst. Für einen immateriellen Schaden bedarf es nach dem LG Karlsruhe somit einer tatsächlichen Persönlichkeitsverletzung.
MIND AND I/Shutterstock.com