Ein zunehmend in den Vordergrund tretendes Thema sind Schadenersatzansprüche von Betroffenen wegen Verstöße gegen die DSGVO. Es gibt bereits zahlreiche Urteile, die Betroffenen wegen Datenschutzverstöße immateriellen Schadensersatz zusprechen. Umstritten und ungeklärt ist bisher, ob bereits der simple DSGVO-Verstoß zu einem Anspruch auf immateriellem Schadensersatz führt, oder ob der Verstoß zu einer erheblichen Beeinträchtigung beim Betroffene geführt haben muss. Entsprechende Fragen wurden dem EuGH bereits vorgelegt. Das Landgericht Köln hatte sich jüngst ebenfalls mit einer Klage auf Schadensersatz wegen eines Datenschutzverstoßes zu befassen. Dort wurden personenbezogene Daten des Betroffenen von einem Dritten an den Arbeitgeber des Betroffenen weitergeleitet. Das Landgericht Köln sprach diesem Betroffenen wegen dieses gravierenden DSGVO-Verstoßes eine Entschädigung von 4.000 EUR zu.
Sachverhalt: Dritter gibt personenbezogene Daten an Vorgesetzten des Betroffenen weiter
Der Kläger ist Mitarbeiter der .... GmbH und dort als Berater/Verkäufer für PKW- und Bankprodukte tätig. Der Beklagte zu 2) ist ebenfalls in diesem Geschäftsbereich tätig, und zwar in der Verkaufsleitung der Beklagten zu 1).
Im April 2021 wandte sich der Kläger an die Beklagten, um einen PKW Audi Q3 zu privaten Zwecken zu kaufen und über die A.B. zu finanzieren. Auf Wunsch des Klägers erfolgte die Kommunikation dabei über das berufliche E-Mail-Postfach des Klägers.
Im Juni 2021 wandte sich die A. B. an die Beklagte zu 1) und teilte mit, dass der Kläger noch nicht sämtliche Nachweise für die in seiner finanziellen Selbstauskunft angegebenen sonstigen Einnahmen erbracht hatte, so dass es noch nicht zu einer Auszahlung kommen könne (sog. Pending). Der Kläger war bereits im April 2021 per E-Mail über die Notwendigkeit der Nachweise informiert worden.
Am 06.07.2021 schrieb Herr ... wegen der noch erforderlichen Nachweise eine weitere Mail an den Kläger an dessen geschäftliches E-Mail-Postfach. Auf diese antwortete der Kläger jedoch erst nach seiner Urlaubsrückkehr am 17.07.2021. Der Beklagte zu 2) hatte sich jedoch bereits mit E-Mail vom 14.07.2021 an den Vorgesetzten des Klägers gewendet und darin folgendes mitgeteilt:
"Sehr geehrter Herr …,
leider muss ich mich heute an Sie wenden, da wir leider bei unserem Kunden … nicht weiterkommen. Herr … reagiert leider nicht auf unsere Anrufe und E-mails von unserem Verkaufsberater …. Ihr Mitarbeiter hat im April einen Q3 bei uns erworben mit entsprechender Finanzierung über die …AG, die Fahrzeugauslieferung hat am 10.06.2021 stattgefunden. Die … AG hat das Geschäft mit Auflage der Nebeneinkünfte in Höhe von € 2.000,00 genehmigt. Leider ist Herr … bisher dieser Aufforderung der Nachweisführung nicht nachgekommen, die … AG hat hier bereits die 1. Mahnung rausgeschickt. Daher würden wir Sie bitten, mit Ihrem Mitarbeiter ein klärendes Gespräch zu führen, damit wir dieses Pending vom Tisch bekommen. Der Verkaufsberater Herr … hat am 06.07.2021 versucht per Mail in Kontakt zu treten. Gerne stehe ich Ihnen für Fragen zur Verfügung.
Mit freundlichen Grüßen
…
Verkaufsleitung A. S. GmbH“
Der Kläger war alles andere als erfreut über diese E-Mail an seinen Arbeitgeber. Zudem machte er geltend, dass diese E-Mail ein eklatanter Verstoß gegen die DSGVO sei und forderte von den Beklagten Schadensersatz in Höhe von 100.000 EUR. Zur Begründung behauptete er, die Offenlegungen des privaten Autokaufs bei einem Konkurrenzunternehmen und der Nebeneinkünfte hätten das Vertrauensverhältnis zu seinem Arbeitgeber zerstört. Er sei nach seiner Urlaubsrückkehr in das Büro seines Vorgesetzten zitiert worden und habe sich für die Mail der Beklagten rechtfertigen müssen, insbesondere, warum er das Fahrzeug nicht bei seinem Arbeitgeber gekauft hätte. Aufgrund dieser massiven Belastung des Arbeitsverhältnisses könne er seiner Arbeit nicht mehr nachgehen und leide an Depressionen. Im Januar 2022 habe er sich in psychologische Behandlung begeben müssen. Das Arbeitsverhältnis würde „in Kürze“ beendet; seine Stelle sei inzwischen neu besetzt worden. Ab April 2022 werde er Krankengeld beziehen, er habe mit einer monatlichen Nettolücke von 1.500 EUR gegenüber seinem jetzigen Nettomonatsgeld von 4.200 EUR zu rechnen. Ihn würden zudem finanzielle Einbußen erwarten, wenn er in Zukunft ALG I oder II beziehen oder frühzeitig in den Ruhestand gehen müsste.
LG Köln: Erheblicher DSGVO-Verstoß rechtfertigt Schadensersatz von 4.000 EUR
Weiterleitung personenbezogener Daten eines Arbeitnehmers an Arbeitgeber durch Dritte = gravierender Datenschutzverstoß
Das Landgericht Köln teilte zwar die Ansicht des Klägers, dass die Übersendung vorstehender Mail an den Arbeitgeber des Klägers ein gravierender Datenschutzverstoß darstelle.
"Die Offenlegung der Vertragsverhältnisse (...) an den Vorgesetzten des Klägers war auch rechtswidrig. Sie unterfällt keinem Rechtfertigungstatbestand nach Art. 6 Abs. 1 DS-GVO.
Insbesondere ist sie nicht zur Erfüllung des Vertrags mit dem Kläger „erforderlich“, Art. 6 Abs. 1 lit. b) DS-GVO. Erforderlichkeit setzt voraus, dass ein unmittelbarer Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses besteht. Ein solcher Zusammenhang ist hier nicht ersichtlich. Der Vorgesetzte des Klägers ist in keiner Weise in den Vertrag involviert und für die private Lebensführung des Klägers auch offensichtlich in keiner Weise verantwortlich. Es ist nicht im Ansatz zu erkennen, warum der Gläubiger eines Schuldverhältnisses sich veranlasst sehen dürfte, sich an den Vorgesetzten seines Schuldners zu wenden um diesen dazu zu bringen, auf den Schuldner einzuwirken. Etwas anderes ergibt sich auch nicht aus dem Umstand, dass der Kläger ebenfalls als Autoverkäufer in einem Konkurrenzunternehmen tätig ist. Gerade in diesem Fall drängt sich der Gedanke förmlich auf, dass dem Kläger aus einer Offenlegung seiner Geschäftsbeziehungen zu einem Konkurrenzunternehmen Probleme erwachsen können, was für die Erfüllung des Vertrags nicht förderlich sein dürfte.“
Gravierender Verstoß gegen DSGVO rechtfertigt immateriellen Schadensersatz nach Art. 82 DSGVO
Das Landgericht Köln bejahte auch einen gravierenden Verstoß, der die Zuerkennung eines immateriellen Schadensersatzes nach Art. 82 DSGVO rechtfertige.
"Der Verstoß der Beklagten zu 1) gegen die Regeln der DS-GVO ist bereits für sich derart gravierend, dass er eine entschädigungspflichtige Persönlichkeitsrechtsverletzung des Klägers begründet. Dass sich der Beklagte zu 2) hier an den Vorgesetzten des Klägers gewandt haben, ist nicht nur unangebracht und ein Verstoß gegen die DS-GVO, sondern für den Kläger auch peinlich und mit erheblichen Unannehmlichkeiten verbunden, weil er sich – unabhängig von der tatsächlichen Reaktion seines Vorgesetzten – genötigt fühlen könnte, sich gegenüber seinem Arbeitgeber dafür rechtfertigen zu müssen, bei der Konkurrenz ein Auto gekauft zu haben. Dies ist mit einem erheblichen Gefühl der Scham verbunden. Es handelt sich bei den Vertragsinformationen zwar nicht um hochsensible und höchstpersönliche Daten, der Kläger hatte jedoch ein offensichtliches Geheimhaltungsinteresse. Der Verstoß führt insoweit auch zu einem völligen Verlust der Kontrolle über die Daten, auch wenn die Information nur an eine Person geleitet wurde. Zudem erfolgte der Verstoß vorsätzlich, auch wenn der Beklagte zu 2), wie die Beklagte zu 1) unbestritten vorgetragen hat, keine Schädigungsabsicht gehabt hat."
Schadensersatz muss angemessen und erforderlich sein - kein Strafschadensersatz
Allerdings rechtfertige der Datenschutzverstoß keinen Schadensersatz von 100.000 EUR, sondern „nur“ in Höhe von 4.000 EUR. Ausschlaggebend hierfür war, dass das Gericht dem Kläger nicht alles glaubte, was er vorgetragen hatte, die Beklagten sich entschuldigt und eine strafbewehrte Unterlassungserklärung abgegeben, sich also einsichtig gezeigt hatten:
„Für die Frage der Schadensbemessung ist von Bedeutung, dass die Kammer die von dem Kläger behaupteten Folgen des Datenschutzverstoßes ihrer Entscheidung nicht zu Grunde legen kann.
Der Vortrag des Klägers zur Zerrüttung seines Arbeitsverhältnisses ist unsubstantiiert und prozessual unbeachtlich. Die Beklagte zu 1) hat sich offenbar im Betrieb des Klägers informiert und … detailliert vorgetragen, dass es zu keiner Zerrüttung des Arbeitsverhältnisses gekommen ist. … Auch fehlt es an substantiiertem Vortrag zu einer dauerhaften Arbeitsunfähigkeit des Klägers …
Auch soweit der Kläger vorgetragen hat, an einer Depression zu leiden, ist sein Vortrag unbeachtlich. Ein ärztliches Attest, das diese Diagnose belegen könnte, hat er nicht vorgelegt. …
Die Kammer will nicht in Abrede stellen, dass der Kläger tatsächlich unter hohem psychischen Druck steht. Er war in der mündlichen Verhandlung sichtlich angefasst und schien deutlich zu leiden. Dieses Leiden ist jedoch nicht derart substantiiert im Prozess vorgetragen worden, dass es für die Kammer prozessual verwertbar wäre und für die Einholung eines psychologischen Sachverständigengutachtens gereicht hätte. Dies gilt nicht nur für den Vortrag des Klägers hinsichtlich des Vorliegens einer Depression, sondern auch für die Frage, ob gerade der Datenschutzverstoß der Beklagten für die Krankheit des Klägers kausal geworden ist. …
Bei der Bemessung des Schmerzensgelds war weiterhin zu berücksichtigen, dass die Beklagte zu 1) eine strafbewehrte Unterlassungserklärung abgegeben und sich … beim Kläger entschuldigt hat.
Weiterhin war zu berücksichtigen, dass nach Sinn und Zweck von Art. 82 DS-GVO das Schmerzensgeld so zu bemessen ist, dass es eine abschreckende Wirkung auf die Beklagte ausübt. Dabei war jedoch auch darauf zu achten, dass auch nach der Konzeption des Art. 82 DS-GVO der Schadensersatz nicht in einen Strafschadensersatz ausartet, sondern in erster Linie der Kompensation tatsächlich entstandener Schäden beim Kläger dient (…). In diesem Zusammenhang war für die Kammer entscheidend auf die finanzielle Situation der Beklagten zu 1) abzustellen, nicht hingegen auf die Finanzkraft des „V-Konzern s“ insgesamt.
Unter Berücksichtigung sämtlicher dieser zuvor genannten Umstände hält die Kammer gemäß § 287 ZPO insgesamt einen Schadensersatz von 4.000 EUR für notwendig, aber auch ausreichend zur Kompensation des dem Kläger entstandenen Schadens.
Landgericht Köln, Urteil vom 28.09.2022, Az.: 28 O 21/22
Praxishinweis:
Einig ist man sich, dass Betroffenen bei einem Datenschutzverstoß ein Unterlassungsanspruch zusteht, der grundsätzlich nur durch Abgabe einer strafbewehrten Unterlassungserklärung erfüllt werden kann. Hat der Betroffene durch den Datenschutzverstoß einen materiellen Schaden erlitten, kann er nach Art. 82 DSGVO auch Ersatz dieses Schadens verlangen.
Umstritten ist dagegen, wann Betroffenen ein immaterieller Schadensersatz nach Art. 82 Abs. 1 DSGVO zusteht. Einige Gerichte in Deutschland vertreten die Ansicht, dass grundsätzlich jeder DSGVO-Verstoß einen immateriellen Schaden begründet und sprechen Betroffenen z.B. wegen der Zusendung von Werbe-E-Mails immateriellen Schadensersatz (wenn auch in geringer Höhe) zu.
Andere Gerichte in Deutschland verneinen einen Anspruch auf immateriellen Schadensersatz wegen Zusendung von Werbe-E-Mails, da eine bloße Belästigung nicht genüge (z.B. AG Hamburg-Bergedorf, Urt. v. 7.12.2020, 410d C 197/20; AG Goslar Urt. v. 27.7.2019, 28 C 7/19; AG Diez, Urt. v. 7.11.2018, 8 C 130/18). Der letzten Ansicht scheint auch der EuGH-Generalanwalt in seinen Schlussanträgen vom 06.10.2022 (C‑300/21 UI gegen Österreichische Post AG) zu folgen. Nach seiner Auffassung genügt bloßer „Ärger“ und "Unwohlsein" nicht, um einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO zu begründen.
Mit dieser Streitfrage musste sich das LG Kön nicht beschäftigen, lag offenkundig ein gravierender Verstoß gegen die DSGVO vor, die auch erhebliche Folgen für den Betroffenen hatte. Allerdings zeigt das Urteil, dass Betroffene, die immateriellen Schadensersatz nach Art. 82 DSGVO geltend machen, detailliert darlegen und notfalls beweisen müssen, aufgrund welcher konkreten tatsächlichen Umstände die konkret geforderte Schadensersatzhöhe angemessen und erfoderlich ist. Im vorliegenden Fall nahm der Betroffene es mit der Wahrheit wohl nicht allzu genau.
Wurden auch Ihre personenenbezogenen Daten von Dritten unzulässig genutzt? Wurde Ihr Recht am eigenen Bild oder Ihr Persönlichkeitsrecht auf andere Weise verletzt?
Oder machen Dritte Ansprüche gegen Sie wegen Verstöße gegen die DSGVO oder anderer Persönlichkeitsrechtsverletzungen geltend?
Ich berate und vertrete auch Sie gerne. Nutzen Sie auch gerne die kostenlose Ersteinschätzung!