DSGVO-Schadensersatz setzt ernsthaften Verstoß voraus

Dr. Carlo Piltz

Nachdem sich bereits einige Gerichte mit dem Schadensersatzanspruch nach der Datenschutz-Grundverordnung (DSGVO) beschäftigt haben, hat nunmehr auch das AG Frankfurt/Main ein erstes Urteil (10.07.2020 – Az. 385 C 155/19 (70)) zu diesem Thema gefällt.

Dem Urteil ging ein Streit zwischen einer amerikanischen Hotelkette und deren Kunde voraus. Dieser hatte in den Jahren 2014–2018 mehrmals in Hotels der Kette übernachtet. Im Jahr 2018 erfuhr der Kunde dann aus der Presse, dass es einen Fehler in den IT-Systemen der Hotelkette gegeben habe, der dazu führte, dass gespeicherte Daten (Name, Anschrift, Kreditkartennummer und Passnummer sowie Daten, die während des Aufenthaltes des Klägers in den Hotels gesammelt wurden, wie Angaben zu Minibar und Snacks) an Dritte gelangen konnten. Daraufhin bat der Kunde die Hotelkette um Auskunft, ob und wenn ja, welche Daten zu seiner Person an Dritte gelangt sind. Schließlich erteilte die Hotelkette die gewünschte Auskunft, obgleich diese nach Ansicht des Kunden verspätet und nicht vollständig erfolgt ist.

Daraufhin erhob der Kunde vor dem AG Frankfurt/Main Klage gegen die Hotelkette einerseits auf Zahlung eines immateriellen Schadenersatzes i. H. v. 1.500,- EUR nebst Zinsen sowie andererseits gerichtet auf die Feststellung, dass die Hotelkette sämtliche zukünftige Schäden, die ihm aus dem Datenleck entstehen werden, zu ersetzen hat. Der Kunde begründete den Schadenersatzanspruch vor allem mit dem ständigen Gefühl des Unbehagens, dass seine personenbezogenen Daten von Dritten benutzt würden.

Das AG lehnte alle Klageanträge ab. Zwar bejahte es ohne nähere Ausführungen einen Verstoß gegen den datenschutzrechtlichen Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DSGVO. Allerdings verneinte das Gericht im zu entscheidenden Fall das Vorliegen eines kausalen Schadens. Dies begründete es damit, dass individuell empfundene bloße Unannehmlichkeiten oder Bagatellverstöße nicht für die Bejahung eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO ausreichen. Vielmehr müsse der immaterielle Schaden objektiv nachvollziehbar und feststellbar sein. Es bedürfe dazu einer öffentlichen Bloßstellung. Der Kläger habe aber nicht dargelegt, dass er gesellschaftliche oder persönliche Nachteile erlitten habe. Mit dieser Argumentation hatten in der Vergangenheit bereits mehrere deutsche und europäische Gerichte die Schadensersatzklagen Betroffener abgelehnt. ErwG 146 S. 3 DSGVO besagt, dass der Begriff des Schadens im Lichte der Rechtsprechung des EuGH in einer Art und Weise ausgelegt werden soll, die den Zielen der DSGVO in vollem Umfang entspricht. Eingedenk der Tatsache, dass von dem Datenleck u. a. auch Kreditkartendaten betroffen waren und gegenüber Dritten mutmaßlich offengelegt wurden, bleibt offen, inwieweit der Ausschluss dieser „Bagatellverstöße“ o. Ä. vor den höheren Instanzen Bestand haben wird.

Bemerkenswert ist schließlich, dass das AG eine Fristverlängerung im Rahmen der erteilten Auskunft nach Art. 12 Abs. 3 S. 2 DSGVO als zulässig erachtete, da eine große Anzahl von Kunden, nämlich 5.000, betroffen sei. Interessant wird daher in Zukunft die Frage sein, ab welchem Schwellenwert sich der Verantwortliche für eine Fristverlängerung darauf berufen kann, dass eine große Anzahl Betroffener Auskunft verlangt.

[September 2020]