LG Hamburg: DSGVO-Verstoß allein führt nicht zu Schadensersatzanspruch

Jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entsteht, hat gemäß Art. 82 Abs. 1 DSGVO einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Das LG Hamburg (Urt. v. 4.9.2020 – 324 S 9/19) entschied nun, dass jedoch kein Anspruch auf Schadensersatz bei nur unerheblichen Verstößen bestehe.

Der Beklagte unterhält eine Webseite für Wohnungsanzeigen. Auf dieser Webseite hat die Klägerin ihre Daten in das vorhandene Terminformular eingetragen, um eine Terminvereinbarung zu treffen. Diese Daten hat der Beklagte der Öffentlichkeit für einen Zeitraum von circa 6 Wochen sichtbar gemacht hat. Aus dem veröffentlichten Terminformular wurde für Dritte erkennbar, dass die Klägerin Urlaub hatte und sich mit Pflanzen- und Blumenmotiven tätowieren lassen wollte. Eine Einwilligung der Klägerin zur Veröffentlichung des Terminformulars lag nicht vor. Hierfür forderte sie Schadensersatz.

Das AG Hamburg-Barmbeck (Urt. vom 15.11.2019 – 821 C 206/18) hatte der Klägerin nur hinsichtlich eines Teils der begehrten Rechtsanwaltsgebühren stattgegeben und die Klage im Übrigen abgewiesen. Hiergegen legte sie Berufung ein.

Das LG Hamburg wies die Berufung nun zurück und entschied, dass kein Anspruch auf Schadensersatz bei nur unerheblichen Rechtsverstößen bestehe . Zudem müsse tatsächlich ein Schaden, z.B. eine Persönlichkeitsverletzung, eingetreten sein. Diesen Schaden habe die Klägerin bzw. der Kläger darzulegen und zu beweisen.

Verantwortlichkeit trotz externer Dienstleister

Zunächst stellte das Gericht klar, dass der Beklagte „Verantwortlicher“ i.S.d. Art. 4 Nr. 7 DSGVO sei. Er sei auch dann für die rechtswidrige Datenverarbeitung in Form der Veröffentlichung verantwortlich, wenn der ursächliche Fehler durch einen beauftragten, externen Dienstleister herbeigeführt wurde.

Der Beklagte ist Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO für die ordnungsgemäße Verarbeitung der personenbezogenen Daten (Art. 4 Nr. 1 DSGVO) der Klägerin. Er hat die Daten der Klägerin durch die Erfassung in dem Terminformular seiner Webseite verarbeitet und durch die öffentliche Freischaltung auch verbreitet (Art. 4 Nr. 2 DSGVO). […]

Der Beklagte kann sich nicht durch einen Verweis auf seinen Dienstleister exkulpieren, da dies nichts an der Verantwortlichkeit des Beklagten ändert.

Schadensersatzanspruch auch bei immateriellen Schäden

Zwar seien immaterielle Schäden von Art. 82 Abs. 1 DSGVO erfasst und der der Begriff des Schadens weit auszulegen, jedoch führe nicht jeder Verstoß gegen die DSGVO zu einer Ersatzpflicht.

Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, so dass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird.

Befürchtung von Nachteilen nicht ausreichend

Eine schwere Persönlichkeitsrechtsverletzung sei zwar nicht erforderlich, allerdings genüge auch nicht jeder Verstoß.

Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen (Gola/Piltz, DS-GVO, 2. Aufl., Art. 82 Rn. 13). Dennoch führt nicht bereits jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (LG Karlsruhe a.a.O.).

Eine solche „Bloßstellung“ ist vorliegend allerdings nicht erfolgt. Ferner hat die Klägerin den Eintritt von Nachteilen nicht behauptet, sondern lediglich vorgetragen, dass sie Nachteile befürchtet.

Eintritt eines Schadens erforderlich

Der Klägerin stehe damit kein Anspruch auf Ersatz immaterieller Schäden zu. Hierfür sei der Eintritt eines Schadens erforderlich, die bloße Befürchtung eines solchen reiche nicht aus.

Der Klägerin steht gegen den Beklagten auch kein Anspruch auf Ersatz immaterieller Schäden („Schmerzensgeld“) aus Art. 82 DSGVO oder sonst einem rechtlichen Aspekt zu. Für die Zubilligung eines Schadensersatzanspruchs bedarf es des Eintritts eines Schadens. Diesen hat die Klägerin weder dargelegt noch ist er sonst ersichtlich. Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (so auch LG Karlsruhe, Urteil vom 2.8.2019 – 8 O 26/19 = ZD 2019, 511).

Beweislast des Geschädigten

Des Weiteren hat das Gericht klargestellt, dass der Kläger bzw. die Klägerin den Eintritt des Schadens darzulegen und zu beweisen habe.

Voraussetzung eines Anspruchs auf Schadensersatz aus Art. 82 Abs. 1 DSGVO, der im nationalen Recht unmittelbar Anwendung findet und andere Anspruchsgrundlagen nicht ausschließt (Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 82 Rn. 7), ist ein Verstoß gegen die DSGVO und ein hierdurch verursachter Schaden, was ein Kläger darzulegen und zu beweisen hat (LG Karlsruhe a.a.O.)

Reduzierung des Gegenstandswerts der Abmahnung

Die Beklagte forderte zudem den Ersatz der Abmahnkosten nach einem Gegenstandswert von 9.000 €. Bereits die Vorinstanz hatte den Gegenstandswert reduziert und mit 3.000 € angesetzt. Dies bestätigte das LG Hamburg. Der Gegenstandswert sei vorliegend nach billigem Ermessen zu bemessen. Dabei seien sowohl der Umfang als auch die Bedeutung des Verstoßes zu berücksichtigen.

Vorliegend handelt es sich um einen Vorfall von geringem Umfang und nicht erheblicher Bedeutung. Die Daten der Klägerin wurden vom Beklagten zwar im Internet frei verfügbar abrufbar vorgehalten, allerdings nur über einen Zeitraum von nicht mehr als ca. 6 Wochen.

Allerdings verbreitete der Beklagte die Daten nicht aktiv, indem er auf diese z.B. auf seiner Webseite oder in anderer Weise hingewiesen hätte. Die regelmäßig von der Kammer angenommenen Streitwerte für eine pressemäßige Verbreitung sind damit nicht zugrunde zu legen. Der Verstoß war auch leicht feststellbar. Die Bedeutung der Sache erscheint zuletzt auch deshalb nicht besonders erheblich, weil die Daten zwar private, wohl aber nicht intime Aspekte der Klägerin betrafen.

Die von der Klägerin angeführten Festsetzungen von Gegenstandswerten anderer Gerichte führten zu keiner anderen Bewertung, da diesen Datenschutzverstöße zugrunde lagen, die jeweils erheblich größeren Ausmaßes waren.

Fazit

Das Urteil des LG Hamburg verdeutlicht, dass die bloße Befürchtung einer Persönlichkeitsverletzung keinen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DSGVO begründet. Voraussetzung für einen Schadensersatzanspruch ist der tatsächliche Eintritt eines Schadens, wobei auch immaterielle Schäden grundsätzlich von der Schadensersatzpflicht umfasst sind. Die Darlegungs- und Beweislast eines solchen Schadenseintritts trägt der Kläger bzw. die Klägerin.

MIND AND I/Shutterstock.com