Mehr Infos
Menü Zum Kontakt Telefon: +49 6151 - 99 55 0

 

 

 
 
 

 

 

 

Immer mehr Gerichte müssen sich mit DSGVO-Schadensersatzansprüchen auseinandersetzen. Vor allem solchen, die aufgrund von immateriellen Schäden geltend gemacht werden. So hatte sich auch das Landgericht Köln (Urteil vom 28.09.2022, Az. O 21/22) kürzlich mit einer Klage auf Zahlung eines Schmerzensgeldes wegen eines DSGVO-Verstoßes zu befassen. Im zu entscheidenden Fall wurden im Rahmen einer Vertragsabwicklung personenbezogene Daten des Betroffenen an dessen Arbeitgeber weitergeleitet. Das Gericht sprach dem Betroffenen eine Entschädigung von 4.000 EUR zu..

 

Das Wichtigste in Kürze

  • Die Übersendung einer E-Mail mit Vertragsdaten an den unbeteiligten Vorgesetzten des Betroffenen stellt einen gravierenden Datenschutzverstoß dar.
  • Der Schmerzensgeldanspruch folgt aus einem Verstoß gegen Art. 6 Abs. 1 DSGVO.
  • Durch die unberechtigte Weitergabe der Vertragsdaten liegt im konkreten Fall sowohl ein gravierender DSGVO-Verstoß als auch ein erheblicher und damit ersatzpflichtiger Schaden vor.
  • Das beklagte Unternehmen muss sich als Verantwortlicher den Datenschutzverstoß des handelnden Verkäufers zurechnen lassen.

 

PKW-Kauf bei einem Konkurrenten des Arbeitgebers

Der Betroffene erwarb vom beklagten Unternehmen, das u.a. im Verkauf von PKW- und Bankprodukten tätig ist, einen Pkw für den Privatgebrauch. Dabei handelte es sich um ein Konkurrenzunternehmen des Arbeitgebers des Betroffenen. Die Kommunikationsabwicklung lief auf Wunsch des Betroffenen über sein geschäftliches E-Mail-Postfach. Nachdem es Probleme mit der Finanzierung des PKW gab, weil Unterlagen zu Nebeneinkünften des Betroffenen fehlten, wurde er schriftlich zur Vervollständigung aufgefordert. Der Betroffene reagierte hierauf jedoch erst nach seiner Urlaubsrückkehr. In der Zwischenzeit kontaktierte der Verkaufsberater bereits den Vorgesetzten des Betroffenen per E-Mail, um diesen dazu zu bringen, auf die Vertragserfüllung durch seinen Arbeitnehmer einzuwirken. Dies war mit erheblichen Unannehmlichkeiten für den Kläger verbunden, insbesondere weil er das Auto bei einem Konkurrenzunternehmen seines Arbeitgebers erwarb. Der Betroffene machte daraufhin gerichtlich ein Schmerzensgeld in Höhe von mind. 100.000 EUR geltend.

 

Datenschutzverstoß durch die Weitergabe personenbezogener Daten eines Vertragspartners an dessen Vorgesetzten

Das LG Köln teilte die Ansicht des Klägers, wonach die Übersendung der E-Mail an den Vorgesetzten des Käufers einen gravierenden Datenschutzverstoß darstellt, sodass dem Betroffenen gegen die Beklagte als Verantwortliche i.S.d. DSGVO, ein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 DSGVO zusteht. Der Schmerzensgeldanspruch folgt aus einem Verstoß des Angestellten der Verantwortlichen gegen Art. 6 Abs. 1 DSGVO. Dadurch, dass der Verkäufer die streitgegenständliche E-Mail an den Arbeitgeber des Betroffenen versendete, lag eine Verarbeitung personenbezogener Daten des Betroffenen vor.

Eine Verarbeitung im Sinne der DSGVO kann grundsätzlich durch jede Verwendung, daher auch die Offenlegung durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung vorliegen. Da es für die Offenlegung des Vertragsverhältnisses zwischen der Verantwortlichen und dem Betroffenen gegenüber dem Vorgesetzten des Betroffenen keinen Grund gab und somit keine Rechtsgrundlage i.S.d. Art. 6 Abs. 1 DSGVO, war die Datenverarbeitung unrechtmäßig.

Insbesondere war die Offenlegung nicht für die Erfüllung des Vertrages mit dem Betroffenen erforderlich (Art. 6 Abs. 1 lit. b) DSGVO). Dies hätte einen unmittelbaren Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses vorausgesetzt, der in diesem Fall nicht gegeben war. Der Betroffene schloss den Vertrag zu privaten Zwecken ab, ohne jegliche Miteinbeziehung seines Vorgesetzten, der im Übrigen auch nicht für die private Lebensführung des Betroffenen verantwortlich ist. Vielmehr hätte dem Handelnden klar sein müssen, dass die Offenlegung der Geschäftsbeziehung zu einem Konkurrenzunternehmen für den Betroffenen mit Unannehmlichkeiten verbunden sein könnte, die sich auf die Vertragsdurchführung negativ auswirken dürfte. Zu erwähnen ist weiterhin, dass es sich bei den offengelegten Vertragsinformationen zwar um keine sensiblen und höchstpersönlichen Daten des Betroffenen handelte, das Gericht allerdings aufgrund der Umstände ein Geheimhaltungsinteresse des Betroffenen annahm.

 

Datenschutzverstoß stellt entschädigungspflichtigen Schaden dar

Den Anspruch begründete das Gericht zum einen bereits mit dem schwerwiegenden Datenschutzverstoß. Zum anderen mit der dadurch bedingten Persönlichkeitsrechtsverletzung des Klägers sowie dem Kontrollverlust im Hinblick auf seine Daten. Die Weitergabe seiner Daten an seinen Arbeitgeber sei für diesen peinlich gewesen und mit erheblichen Unannehmlichkeiten verbunden. Der Betroffene sah sich infolgedessen genötigt, sich bei seinem Arbeitgeber für den Autokauf beim Konkurrenten rechtfertigen zu müssen.

 

Schadensersatz in Höhe von 4.000 EUR angemessen und erforderlich

Die unberechtigte Datenweitergabe rechtfertigt nach Auffassung des Gerichts ein Schmerzensgeld in Höhe von 4.000 EUR. Das Urteil bleibt damit hinter der beantragten Summer von mindestens 100.000 EUR deutlich zurück. Der Betroffene konnte die von ihm behaupteten Folgen des Datenschutzverstoßes nicht in vollem Umfang zur vollen Überzeugung des Gerichts darlegen. Insbesondere im Hinblick auf die behauptete Zerrüttung des Arbeitsverhältnisses sowie die Behauptung einer erlittenen Depression. Bei der Bemessung der Schmerzensgeldhöhe wurden darüber hinaus folgende Punkte berücksichtigt:

  • Der Autohändler unterschrieb eine strafbewehrte Unterlassungserklärung und entschuldigte sich beim Betroffenen.
  • Das Erreichen einer abschreckenden Wirkung entsprechend dem Sinn und Zweck des Art. 82 DSGVO, der in erster Linie der Kompensation des tatsächlich entstandenen Schadens dient, und nicht der Pönalisierung.
  • Die finanzielle Situation des beklagten Unternehmens, da der Betroffene nur Ansprüche gegen das Unternehmen geltend machte und nicht gegen den Verkäufer.
  • Da keine Angaben zu der finanziellen Situation des beklagten Unternehmens gemacht wurden, konnte sich das Gericht bei der Bestimmung der Höhe nicht an einem potenziellen Bußgeld orientieren, das von der Aufsichtsbehörde noch verhängt werden könnte.

 

Haftung des Autohauses für den Datenschutzverstoß des Mitarbeiters

Das beklagte Unternehmen muss sich als Verantwortlicher den Datenschutzverstoß des handelnden Verkäufers zurechnen lassen. Eine Exkulpationsmöglichkeit nach Art. 82 Abs. 3 DSGVO war nicht ersichtlich. Auch die Tatsache, dass sich das Unternehmen darauf beruft, der Angestellte habe bei der Datenweitergabe keine Schädigungsabsicht gehabt, war in dem zu entscheidenden Fall unerheblich, da das Verschulden keine Voraussetzung des Anspruchs aus Art. 82 DSGVO ist.

 

 

Fazit

Es herrscht weiterhin Uneinigkeit darüber, ob bereits jeder DSGVO-Verstoß einen ersatzfähigen Schaden darstellt bzw. wie erheblich ein Schaden infolge eines DSGVO-Verstoßes sein muss, um einen Schmerzensgeldanspruch aus Art. 82 DSGVO begründen zu können. Daher wurde diese Frage bereits vor einiger Zeit dem EuGH zur Vorabentscheidung vorgelegt. Der zuständige EuGH-Generalanwalt hat kürzlich seine Schlussanträge in der Sache (Rs. C-300/21) vorgestellt, die für weitere Diskussionen gesorgt haben. Darin vertritt er die Auffassung, dass nicht bereits der bloße Unmut über einen DSGVO-Verstoß einen Schadensersatzanspruch nach Art. 82 DSGVO auslöse. Der EuGH muss diese Einschätzung zwar nicht teilen, allerdings folgen die Richter in über 80 Prozent der Fälle den Schlussanträgen der Generalanwälte. Daher kann eine entsprechende Entscheidung nicht ausgeschlossen werden. Doch selbst unter Berücksichtigung der in vielen Punkten konturlosen Ausführungen des Generalanwalts war im vorliegenden Fall offenkundig sowohl ein erheblicher Datenschutzverstoß als auch ein Schaden, der über bloßen Ärger hinausgeht, und damit eine Bagatellgrenze überschreitet, gegeben. Auch die zugesprochene Höhe von 4.000 EUR zeigt, welche Auswirkungen Datenschutzverletzungen haben können. Das Urteil unterstreicht die zunehmende Bedeutung von DSGVO-Schadensersatzansprüchen in der Praxis.

 

Call Now ButtonKontakt aufnehmen