Das Landgericht Augsburg hat am 26.07.2024 entschieden, dass ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) nicht automatisch einen Schadensersatzanspruch begründet. Vielmehr müssen Betroffene einen konkreten Schaden vortragen und nachweisen, der kausal auf dem behaupteten DSGVO-Verstoß beruht. Die von Betroffenen immer wieder vorgebrachten Floskeln "Kontrollverlust", "Ängste" und "Unbehagen" reichten auch dem Landgericht Augsburg nicht aus, um einen immateriellen Schaden nach Art. 82 DSGVO zuzusprechen. Das Urteil ist insbesondere für Unternehmen relevant, die mit personenbezogenen Daten arbeiten und mit Schadensersatzansprüchen nach Art. 82 DSGVO konfrontiert werden.
War war passiert?
Klassiker: Datenübermittlung an SCHUFA
Die Klägerin, eine Verbraucherin, schloss am 12.10.2022 mit der Beklagten, einem großen deutschen Telekommunikationsanbieter, einen Telefonvertrag ab. Im Rahmen dieses Vertrages übermittelte die Beklagte verschiedene personenbezogene Daten der Klägerin an die SCHUFA, darunter Name, Anschrift, Geburtsdatum, Vertragsnummer und ein sogenanntes SK-Merkmal (Servicekonto zum Telekommunikationskonto). Eine Einwilligung der Klägerin in die Übermittlung dieser Daten an die SCHUFA lag nicht vor. Am 05.10.2023 erhielt die Klägerin eine SCHUFA-Auskunft, in der sie über die Speicherung dieser Daten informiert wurde.
Ansprüche der Klägerin: Schadensersatz und Unterlassung
Die Klägerin sah sich durch die Übermittlung ihrer Daten an die SCHUFA in ihren Rechten verletzt und machte folgende Ansprüche geltend:
⇒ Schadensersatz: Die Klägerin verlangte von der Beklagten immateriellen Schadensersatz in Höhe von mindestens 5.000 Euro, da sie nach Erhalt der SCHUFA-Auskunft erhebliche Sorgen und Ängste hinsichtlich ihrer Kreditwürdigkeit verspürt habe.
⇒ Unterlassung: Darüber hinaus verlangte sie, dass die Beklagte es künftig unterlässt, ihre personenbezogenen Daten ohne ihre Einwilligung an Auskunfteien wie die SCHUFA zu übermitteln.
⇒ Feststellung künftiger Schäden: Die Klägerin verlangte ferner die Feststellung, dass die Beklagte für alle künftigen materiellen und immateriellen Schäden haftet, die aus der unzulässigen Datenverarbeitung entstehen können.
Argumente der Klägerin: "Kontrollverlust" und "Angst um Bonität"
Die Klägerin trug vor, dass die Übermittlung ihrer Daten an die SCHUFA zu einem erheblichen Kontrollverlust und zu ständigen Ängsten über ihre finanzielle Zukunft geführt habe. Sie lebe seither in ständiger Angst, dass die Datenübermittlung ihre Kreditwürdigkeit beeinträchtigen und unangenehme Nachfragen nach sich ziehen könnte. Dies habe ihre Entscheidungsfreiheit bei künftigen Vertragsabschlüssen erheblich eingeschränkt.
Argumentation der Beklagten: Berechtigtes Interesse für Datenweitergabe an Schufa
Die Beklagte bestritt, dass der Klägerin durch die Datenübermittlung tatsächlich ein Schaden entstanden sei. Die Übermittlung der Daten an die SCHUFA sei rechtmäßig gewesen und habe auf berechtigten Interessen beruht. Die Beklagte betonte, dass die Übermittlung dem Schutz der Klägerin und anderer Verbraucher vor Identitätsdiebstahl und Betrug diene und damit auch im Interesse der Klägerin liege. Außerdem habe die SCHUFA bereits mit der Löschung der Daten begonnen.
Sie haben Fragen zur DSGVO?
Ihnen wird ein Verstoß gegen die DSGVO vorgeworfen? Ich prüfe das !
Sie sollen Schadensersatz zahlen? - Ich helfe ! Rufen Sie an oder Mail 👉
Was sagte das Gericht?
Das Landgericht Augsburg wies die Klage vollumfänglich ab. Es verneinte bereits einen Verstoß gegen die DSGVO. Zudem habe die Klägerin nicht substantiiert dargelegt, dass ihr durch die Datenübermittlung an die Schufa ein konkreter immaterieller Schaden entstanden sei.
Kein DSGVO-Verstoß durch Datenübermittlung an SCHUFA
Das Gericht stellte fest, dass die Datenübermittlung nach Art. 6 Abs. 1 lit. f DSGVO rechtmäßig gewesen sei. Die Interessenabwägung habe ergeben, dass die Beklagte nicht nur eigene wirtschaftliche Interessen verfolge, sondern auch die Interessen der Klägerin und anderer Verbraucher, insbesondere den Schutz vor Identitätsdiebstahl und Betrug. Diese schutzwürdigen Interessen überwögen das Datenschutzinteresse der Klägerin:
👉 „Das Gericht hat hierbei insbesondere in seine Erwägungen eingestellt, dass die Beklagte hierbei nicht nur eigene wirtschaftliche Interessen verfolgt, sondern durch die Datenübermittlung mittelbar auch Interessen der Verbraucher und somit letztlich auch der Klagepartei selbst gefördert werden. Dies trifft insbesondere zu, soweit die Beklagte die Einmeldung der Daten zum Schutz der Verbraucher vor Identitätsdiebstahl und sonstigen Betrugsstraftaten vornimmt. Ein verständiger Verbraucher hat offenkundig ein erhebliches Interesse daran, dass seine Daten nicht für kriminelle Zwecke missbraucht werden und insbesondere nicht widerrechtlich auf seinen Namen Rechtsgeschäfte abgeschlossen werden. Die Beklagte hat plausibel dargelegt, dass sie die Daten (auch) an die SCHUFA übermittelt, um derartige Fälle, insbesondere in der Konstellation der sogenannten „Waren“- oder „Paketagenten“ zu vermeiden. Es ist gerichtsbekannt, dass die Opfer derartiger Identitätsdiebstahls-Fälle oftmals erhebliche Unannehmlichkeiten erdulden und in nicht unerheblichem Umfang eigene zeitliche und finanzielle Ressourcen aufwenden müssen, um die Folgen solcher Straftaten zu beseitigen. Die Erschwerung solcher krimineller Handlungen liegt daher im wohlverstandenen Interesse nicht nur der Beklagten, sondern auch der Klagepartei und aller übrigen Telefonkunden."
Floskeln "Kontrollverlust" und "Ängste" genügen nicht für Schaden nach Art. 82 DSGVO
Hinsichtlich der Schadenersatzforderung führte das Gericht aus, dass ein immaterieller Schaden im Sinne des Art 82 DSGVO nicht nachgewiesen worden sei. Das Gericht betonte, dass ein bloßes Unbehagen oder eine allgemeine Beunruhigung nicht ausreiche, um einen immateriellen Schaden zu begründen. Vielmehr müsse es sich um einen konkreten und greifbaren Schaden handeln, der kausal auf die unzulässige Datenverarbeitung zurückzuführen sei. Dies sei im vorliegenden Fall jedoch nicht erkennbar.
👉 "Hinsichtlich eines möglichen künftigen Missbrauchs personenbezogener Daten wird ein immaterieller Schaden aber nur dann zu begründen sein, wenn es sich um einen realen und sicheren emotionalen Schaden handelt und nicht nur um ein Ärgernis oder eine Unannehmlichkeit (vgl. EuGH, Schlussanträge vom 27.04.2023 – C-340/21; OLG Düsseldorf GRUR-RS 2023, 4182). Ein etwaiger Verstoß führt – unabhängig der Frage der Erheblichkeit – jedenfalls nicht per se zu einem Schaden (EUGH Urteil vom 04.05.2023, C-300/21). Ein konkreter Schaden ist im jeweiligen Einzelfall festzustellen ist.
👉 Der Vortrag, dass sich unmittelbar nach Erhalt der SCHUFA-Mitteilung ein Gefühl des Kontrollverlusts und der großen Sorge, insbesondere auch im Hinblick auf die eigene Bonität, eingestellt habe, dieses von der Angst geprägt gewesen sei, einer unberechtigten Übermittlung an eine Auskunftei wie die SCHUFA ausgesetzt zu sein, und dies die Klagepartei bis zum heutigen Tag beunruhige, weshalb sie mit der ständigen Angst vor unangenehmen Rückfragen in Bezug auf die eigene Bonität, das allgemeine Verhalten im Wirtschaftsverkehr oder einer Verfälschung des SCHUFA-Scores lebe, erfolgte offensichtlich ohne hinreichende Tatsachengrundlage.
👉 Die Klagepartei schilderte im Rahmen ihrer informatorischen Anhörung zwar, immer wieder Spam-E-Mails und Spam-SMS zu erhalten und um die eigene Bonität besorgt zu sein. Sie gab jedoch auch an, noch keine direkten Beeinträchtigungen erfahren zu haben. Insbesondere hinsichtlich der Bonität erläuterte sie, dass sie nicht davon ausgehe, dass sich dieser eine SCHUFA-Eintrag allein, der auf Grundlage des Vertrages mit der Beklagten erfolgte, auf die Bonität negativ auswirke, vielmehr gehe sie davon aus, dass negative Auswirkungen eintreten könnten, wenn sie mehrere Verträge abschließe. Sie habe zwischenzeitlich einen weiteren Mobilfunkvertrag abgeschlossen, was reibungslos funktioniert habe.“
Feststellungsantrag unzulässig
Auch der Antrag der Klägerin auf Feststellung der Haftung für zukünftige Schäden wurde abgewiesen. Das Gericht stellte fest, dass es an einem schutzwürdigen Feststellungsinteresse fehle, da die Klägerin keine konkreten zukünftigen Schäden habe benennen können. Eine rein theoretische Möglichkeit reiche nicht aus, um ein solches Interesse zu begründen.
LG Augsburg, Endurteil v. 26.07.2024 – 123 O 4719/23
Fazit und Praxishinweis
🔍 Das Landgericht Augsburg stellt noch einmal klar, dass ein Verstoß gegen die DSGVO nicht automatisch zum Schadensersatz führt. Vielmehr ist zusätzlich erforderlich, dass der geltend gemachte Verstoß gegen die DSGVO kausal zu einem konkreten (materiellen oder immateriellen) Schaden geführt hat. 🔍
✔ Damit setzt das Gericht (wie mittlerweile zahlreiche andere deutsche Gerichte) die Vorgaben des EuGH konsequent um. Dieser hat jüngst (EuGH, Urteil vom 25.01.2024) entschieden, dass lediglich hypothetische Risiken keinen Schadensersatz nach Art. 82 DSGVO begründen❌.
😟 Die Darlegungs- und Beweislast hierfür trägt derjenige, der Schadensersatz geltend macht. Wie das Urteil zeigt, ist es für Betroffene nicht einfach, die insoweit gestellten Anforderungen zu erfüllen. Bloße Floskeln wie „Kontrollverlust“, „Ängste“ und „Unbehagen“ reichen nicht aus, um einen materiellen Schaden darzulegen❌.
🛡️Selbstverständlich sollten sich Unternehmen dennoch strikt an die Vorgaben der DSGVO halten, um rechtliche Auseinandersetzungen von vornherein zu vermeiden. Dies auch deshalb, weil nicht ausgeschlossen werden kann, dass Betroffene in anderen Fällen schadensersatzbegründende Tatsachen vortragen. ⚠️