Datenschutz – Schadensersatz für ungewollte Newsletter?
Deutsche Gerichte sprechen Verbrauchern aktuell vermehrt Entschädigungen zu, wenn ihre Daten unbefugt von Unternehmen genutzt oder nicht ausreichend gesichert wurden. Betroffene können daher auch dann eine Geldentschädigung erhalten, wenn diese keine finanziellen Einbußen erlitten haben. Selbst das Bundesverfassungsgericht beschäftigte sich schon mit der Causa, nun ist auch der Europäische Gerichtshof involviert.
Datenschutz im Zuge der Digitalisierung immer wichtiger
Daten werden oft als das Öl des 21. Jahrhunderts bezeichnet. Teilweise werden diese genutzt, um personalisierte Werbung zu schalten oder potenzielle Kunden mit unerwünschten Angeboten zu fluten. Zum Teil sind die Daten aber auch notwendig damit der jeweilige Dienst überhaupt funktioniert. Letzteres gilt insbesondere für Finanzdienstleister, welche empfindliche Informationen wie Kontonummern, Identitätsnachweise und Adressdaten schon laut Gesetz speichern müssen.
Verstöße bezüglich sensibler Daten wiegen schwer
Dass gerade Online-Finanzdienstleister aus diesem Grund äußerst sorgfältig mit Kundendaten umzugehen haben, bestätigte zuletzt ein Urteil des Landgerichts München (Urteil vom 09.12.2021, Az. 31 O 16606/20). Dieses verurteilte die Online-Tradingplattform Scalable Capital zur Zahlung von insgesamt 2.500 Euro Schadensersatz an einen ihrer Kunden. Dessen hinterlegte Kundeninformationen wurden im Rahmen eines Datenlecks kopiert und von den Hackern anschließend im Darknet zum Kauf angeboten.
Da nicht nur der Kläger, sondern insgesamt ca. 33.200 Kunden von dem Datenraub betroffen sind, dürfte der Vorfall noch einige Gerichtsverfahren und gegebenenfalls erhebliche Kosten für das Unternehmen nach sich ziehen.
Auch das OLG Düsseldorf sprach einer Klägerin 2.000 Euro Schadensersatz in Folge eines Datenschutzverstoßes zu (Urteil vom 28.10.2021, Az. 16 U 275/20). Beklagte in diesem Verfahren war eine Krankenkasse, welche die angeforderte Gesundheitsakte (eine Übersicht über sämtliche Erkrankungen und Diagnosen) nicht an die Klägerin, sondern versehentlich an eine falsche E-Mailadresse versandte. Die Vorinstanz – das Landgericht Wuppertal – hielt hierfür sogar 4.000 Euro für angemessen.
Zwar wurde die Akte von dem fälschlichen Adressaten nie eingesehen, da die Akte in einem nicht mehr genutzten Postfach landete, gleichwohl erachtete das Gericht schon die seelische Belastung der Klägerin als ausreichend für den nicht unerheblichen Schadensersatzanspruch in Geld.
Auch kleinere Verstöße können Schadensersatzpflicht auslösen.
Bemerkenswert erscheinen auch die Entscheidungen verschiedener Amtsgerichte in einigen weniger brisanten Fällen.
Das Landgericht Lüneburg verurteilte etwa eine Bank zu 1.000 Euro Schadensersatz, weil diese der Schufa eine nicht beglichene Forderung aus einem Saldo-Kredit mitteilte, ohne die hierfür geltenden Voraussetzungen der DSGVO zu beachten (Urteil vom 14.07.2020, Az. 9 O 145/19). Nach § 32 der DSGVO ist eine Meldung unbeglichener Forderungen gegenüber Auskunfteien nämlich nur dann rechtmäßig, wenn die Forderung anerkannt, gerichtlich festgestellt oder trotz mehrmaliger Mahnung unbestritten ist beziehungsweise das Vertragsverhältnis aufgrund dauerhaften Zahlungsverzuges fristlos gekündigt werden könnte. Dies war jedoch nicht der Fall.
Zu 300 Euro Schadensersatz wurde eine Frau verurteilt, weil diese einem Anwalt ungefragt Werbung für medizinische Mundschutzmasken an dessen Anwaltspostfach zusendete (Amtsgericht Pfaffenhofen, Urteil vom 09.09.2021, Az. 2 C 133/21). Die Mailadresse des Betroffenen hatte diese zuvor nach eigenen Angaben im Internet recherchiert. Dass die Beklagte die Frage nach der Herkunft der E-Mail-Adresse erst nach ca. drei Monaten beantwortete, fiel bei der Bemessung des Schadensersatzes zusätzlich ins Gewicht. Hierzu wäre diese nämlich laut Datenschutzgrundverordnung innerhalb eines Monats verpflichtet gewesen.
BVerfG verpflichtet Amtsgericht zur Vorlage gegenüber dem EuGH
Ein ähnlich gelagerter Fall, in welchem das Amtsgericht Goslar jedoch gegen einen Schadensersatzanspruch des Betroffenen entschied, landete sogar vor dem Bundesverfassungsgericht. Dieses entschied: Das Amtsgericht hätte den Anspruch nicht einfach ablehnen dürfen, sondern den Streitfall dem Europäischen Gerichtshof vorlegen müssen (Beschluss vom 14. Januar 2021, Az. 1 BvR 2853/19).
Eine solche Vorlagepflicht besteht immer dann, wenn unklar ist wie europäisches Recht – hier die Datenschutzgrundverordnung – in einem spezifischen Fall auszulegen ist. Das Amtsgericht Goslar ging davon aus, dass die Auslegung klar sei. Eine bloße Werbe-E-Mail sei derart unerheblich, dass Schadensersatzansprüche offensichtlich nicht in Betracht kämen. Das BVerfG trat dieser Auffassung jedoch entgegen. Dafür, dass es auf die Erheblichkeit eines Verstoßes überhaupt ankomme, bestehen laut Bundesverfassungsgericht nämlich gerade keine eindeutigen Anhaltspunkte. Die Entscheidung des EuGH steht derzeit noch aus.
Fazit
Der Schutz digitalisierter Daten gewinnt zunehmend an Relevanz. Mit der Schadensersatzpflicht in Form des Art. 82 DSGVO hat die europäische Union ein effektives Mittel geschaffen, um rechtswidrigem oder fahrlässigem Umgang mit solchen Daten vorzubeugen. Ob dieses künftig auch bei Bagatellfällen flächendeckend Anwendung findet, bleibt jedoch vorerst abzuwarten.
Bis zu einer endgültigen Entscheidung des EuGH laufen betroffene Verbraucher im Falle einer Klage daher Gefahr nicht nur leer auszugehen, sondern auch die anfallenden Gerichtskosten selbst tragen zu müssen. Grundsätzlich gilt hier: desto sensibler die betroffenen Daten, desto eher besteht ein Anspruch auf Ersatz immaterieller Schäden.
Im Rahmen von Bagatellfällen raten wir vom Verbraucherschutzverein Berlin/Brandenburg (VSVBB) daher zunächst abzuwarten und lediglich Auskunft über die Herkunft der Daten zu verlangen. Ein entsprechendes Musterschreiben finden Sie hier. Sollte der EuGH zugunsten betroffener Verbraucher entscheiden, ist eine Rechtsdurchsetzung noch drei Jahre ab Kenntnis des Verstoßes möglich.