Kein Schadenersatzanspruch wegen Verstoß gegen DSGVO

Das Landgericht Hamburg entschied am 04.09.2020, dass der Vorstoß gegen datenschutzrechtliche Vorschriften allein nicht zu einer Schadensersatzpflicht durch den Verantwortlichen führe.

Ab wann ist auch Schadenersatz bei einem Datenschutzverstoß zu zahlen?
Der Beklagte unterhielt eine Webseite für Wohnungsanzeigen. Auf dieser hatte die Klägerin ihre Daten in ein vorhandenes Terminformular eingetragen, um eine Terminvereinbarung zu treffen. Diese Daten waren der Öffentlichkeit für ca. 6 Wochen zugänglich. Es war erkennbar, dass die Klägerin Urlaub hatte und sich mit Pflanzen- und Blumenmotiven tätowieren lassen wolle. Eine Einwilligung der Klägerin zur Veröffentlichung der Daten existierte nicht. Daher verlangte sie Schadensersatz. Die Vorinstanz hatte der Klage nur zum Teil stattgegeben und der Klägerin einen Teil der geforderten Rechtsanwaltsgebühren zugebilligt. Im Übrigen wurde die Klage aber abgewiesen. Dagegen legte sie Berufung ein.

Verantwortlichkeit trotz externen Dienstleister
Das Landgericht Hamburg befand, der Beklagte selbst sei verantwortlich für die ordnungsgemäße Verarbeitung der personenbezogenen Daten. Er habe die Daten durch die Erfassung in einem Terminformular seiner Webseite verarbeitet und durch die öffentliche Freischaltung auch verbreitet. Darin habe die Klägerin jedoch nicht eingewilligt. Der Beklagte könne sich auch nicht durch einen Verweis auf seinen externen Dienstleister exkulpieren. Denn dies ändere nichts an seiner Verantwortlichkeit.

Gegenstandswert in Höhe von 3.000 EUR
Der Gegenstandswert sei mit 3.000 EUR anzusetzen, so das Gericht weiter. Denn dieser sei grundsätzlich nach billigem Ermessen festzusetzen. Dabei seien Umfang und Bedeutung der Sache zu berücksichtigen. Vorliegend habe es sich um einen Vorfall von geringem Umfang und nicht erheblicher Bedeutung gehandelt. Die Daten der Klägerin seien zwar im Internet frei abrufbar gewesen, allerdings nur über einen Zeitraum von ca. 6 Wochen. Zudem seien die Daten auch nicht aktiv verbreitet worden und der Verstoß leicht feststellbar gewesen. Weiterhin seien die Daten zwar privat, aber nicht intim gewesen. Aufgrund dessen sei nicht der von der Kammer regelmäßig für eine pressemäßige Verbreitung angenommene Streitwert zugrunde zu legen.

Beweislast der Klägerin für Schaden
Das Gericht entschied, dass der Klägerin kein Schmerzensgeld zustehe. Denn dafür bedürfe es des Eintritts eines Schadens. Einen solchen habe die Klägerin weder dargelegt, noch sei er ersichtlich. Allein der Verstoß gegen datenschutzrechtliche Vorschriften führe nicht zu einer Schadenersatzpflicht. Vielmehr sei Voraussetzung, dass ein Verstoß gegen die DSGVO und ein dadurch verursachter Schaden vorliege. Zwar könne grundsätzlich – wenn nicht rechtzeitig und angemessenen auf eine Datenschutzverletzung reagiert werde – dies einen Schadenersatzanspruch nach sich ziehen. Allerdings führe nicht bereits jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht. Denn es müsse eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung vorliegen, wie z.B. eine in der unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“. Eine solche sei aber vorliegend nicht erkennbar.

Befürchtete Nachteile reichen nicht
Zudem habe die Klägerin auch nicht den Eintritt von Nachteilen behauptet, so das Gericht weiter. Vielmehr habe sie lediglich vorgetragen, dass sie Nachteile befürchte. Dies sei jedoch nicht ausreichend.

Landgericht Hamburg, Urteil vom 04.09.2020, Az. 324 S 9/19