Jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entsteht, hat gemäß Art. 82 Abs. 1 DSGVO einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Das AG Hannover (Urt. v. 9.3.2020 - 531 C 10952/19) entschied, dass jedoch kein Anspruch auf Schadensersatz bei Bagatellverstößen bestehe.
Der Kläger buchte auf einem Online-Buchungsportal der Beklagten eine Pauschalreise für seine Ehefrau, seinen Sohn und sich. Zu diesem Zwecke gab er während der Buchung für sich und seine Mitreisenden Vor- und Zunamen, Adresse, Geburtsdatum sowie seine Kreditkartennummer und Handynummer an. Im Anschluss erhielt der Kläger Kenntnis davon, dass diese persönlichen Daten und die Buchungsdaten der Reise an ein Reisebüro gelangt waren. Bei diesem Reisebüro hatte der Kläger in der Vergangenheit bereits zahlreiche Reisen gebucht und gedenkt nach eigenen Angaben, dies auch künftig zu tun. Ursache für die Übermittlung der Daten war der Umstand, dass aufgrund der eigenständigen Buchung des Beklagten die fraglichen Daten in ein auf seinen Namen anlässlich früherer Reisen durch das Reisebüro angelegtes Kundenkonto eingepflegt wurden, das als Kontaktadresse jedoch die E-Mail-Adresse des Reisebüros enthielt. Aufgrund der langjährigen Geschäftsbeziehung mit dem Kläger waren dessen Name, Adresse, Geburtsdatum und Handynummer dem Reisebüro bereits bekannt.
Der Kläger forderte die Beklagte zunächst mittels Schreiben auf, Schadensersatz gem. Art. 82 Abs. 1 DSGVO zu leisten. Daraufhin zahlte die Beklagte 50,00 € an den Kläger. Mit einem weiteren Schreiben verlangte er die Zahlung eines weiteren Betrag i.H.v. 3.000 € als Schadensersatz. Dieser Aufforderung kam die Beklagte nicht nach.
Das AG Hannover (Urt. v. 9.3.2020 - 531 C 10952/19) hielt die Klage für unbegründet und entschied, dass kein Anspruch auf Schadensersatz bestehe. Nicht jeder datenschutzrechtliche Bagatellverstoß ohne ernsthafte Beeinträchtigung des Betroffenen begründe einen ersatzfähigen Schaden.
Zunächst stellte das Gericht klar, dass Ansprüche auf Schadensersatz wegen eines Verstoßes gegen die DSGVO höchstpersönlich seien und demnach nicht im Wege einer Abtretung durch andere Personen geltend gemacht werden können.
Der Kläger ist nicht befugt, etwaige Ansprüche seiner Ehefrau gemäß Art. 82 Abs. 1 DSGVO aus abgetretenem Recht geltend zu machen. Sofern Ansprüche auf Ersatz des immateriellen Schadens im Wege der Abtretung von Dritten geltend gemacht werden, besteht - mangels Übertragbarkeit dieses höchstpersönlichen Anspruchs - keine Aktivlegitimation […].
Insofern fehlt dem Kläger die Aktivlegitimation, so dass die Klage schon aus diesem Grund abzuweisen war.
Dem Kläger stehe jedoch auch aus eigenem Recht kein Schadensersatzanspruch zu. Das Gericht führte hierzu aus, dass abstrakte Befürchtungen keinen Schadensersatzanspruch begründen können. Nicht jede Datenschutzverletzung führe automatisch zu einem Schadensersatzanspruch.
Vorliegend ist ein Schaden schon nicht substantiiert dargetan. Die Befürchtungen des Klägers hinsichtlich der Verwendung der Daten durch unbefugte Dritte oder dahingehend, zu einem gläsernen Menschen zu werden, sind denkbar abstrakt und nicht geeignet, einen Schaden zu begründen. Eine öffentliche Bloßstellung […] ist ebenso wenig dargetan wie sonstige ernsthafte Beeinträchtigungen.
Nicht bereits jede Datenschutzrechtsverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung ist automatisch auch ein ersatzfähiger Schaden […].
Eine schwere Persönlichkeitsrechtsverletzung sei zwar nicht erforderlich, allerdings genüge auch nicht jeder Bagatellverstoß ohne ernsthafte Beeinträchtigung des Betroffenen. Erforderlich sei ein spürbarer Nachteil und eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen mit gewissem Gewicht. Hierzu verwies das Gericht auf ein Urteil des AG Diez. Daran fehle es vorliegend.
Einerseits ist eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen , AG Diez, Urt. v. 07.11.2018 (Az. 8 C 130/18) ZD 2019, 85, 86.
Außerdem habe der Kläger nicht den Nachweis erbracht, dass der entstandene Schaden auf die beanstandete Datenschutzverletzung zurückzuführen sei, so das Gericht.
Aber selbst wenn ein Schaden dargetan wäre, fehlt es an dem - dem Kläger nach allgemeinen Grundsätzen obliegenden Nachweis - der Kausalität zwischen dem Verstoß und dem Schaden, denn nach dem insofern unstreitigen Vorbringen der Beklagten sind Namen, Adresse, Geburtsdatum und Handynummer dem Reisebüro bereits bekannt gewesen. Wenn es also zu einem Schaden gekommen wäre, wäre nicht ersichtlich, dass dieser durch Übermittlung der fraglichen Daten an das Reisebüro verursacht worden wäre.
Aus dem Wortlaut der DSGVO ergibt sich, dass nicht jeder Verstoß gegen die DSGVO zu einem Anspruch auf Schadensersatz führt. Voraussetzung ist der tatsächliche Eintritt eines Schadens, wobei auch immaterielle Schäden grundsätzlich von der Schadensersatzpflicht umfasst sind. Zuletzt entschied das Bundesverfassungsgericht, dass die Voraussetzungen des Anspruchs nach Art. 82 Abs. 1 DSGVO noch nicht abschließend geklärt seien. In diesem Fall hatte das AG Goslar einen Schadensersatzanspruch abgelehnt und seine Entscheidung ebenfalls auf das Merkmal fehlender Erheblichkeit gestützt, ohne dem EuGH die Frage zur Vorabentscheidung vorzulegen. Das Bundesverfassungsgericht hob in diesem Fall das Urteil auf und verwies die Sache zur erneuten Verhandlung und Entscheidung zurück. Welche Rolle eine Erheblichkeitsschwelle hierfür spielt, wird In absehbarer Zeit wohl der EuGH entscheiden.
MIND AND I/Shutterstock.com