Bloße Bagatellschäden begründen keinen DSGVO-Schadensersatz

Das Landgericht Karlsruhe hat mit Urteil vom 09.02.2021 entschieden, dass der von bloßen datenschutzrechtlichen Bagatellschäden Betroffene keinen DSGVO-Schadensersatzanspruch hat. Ein Bagatellschaden war im zugrundeliegenden Fall angenommen worden, weil im Rahmen eines Datenlecks der Name, das Geburtsdatum, das Geschlecht, die E-Mail-Adresse und die Telefonnummer abhandengekommen waren.

Hintergrund
Bei der Beklagten handelt es sich um den Kreditkartendienstleister „MasterCard“, der Kläger ist Verbraucher und Inhaber einer solchen Kreditkarte. Im August 2019 informierte die Beklagte den Kläger darüber, dass es auf einer ihrer Plattformen einen Angriff gegeben habe, durch den möglicherweise verschiedene personenbezogenen Daten des Klägers von Dritten entwendet werden konnten. In dieser E-Mail teilte die Beklagte dem Kläger ferner mit, dass sein Name, Geburtsdatum, Geschlecht, seine Postanschrift, E-Mail-Adresse, Telefonnummer und möglicherweise die Kreditkartennummer entwendet worden seien. Das Ablaufdatum und die Prüfnummer hingegen seien nicht betroffen. In der Folgezeit kursierten im Internet Dateien mit sensiblen Datensätzen von zahlreichen Nutzern der Plattform, unter anderem auch des Klägers. Aufgrund des Datenlecks hat der Kläger einen Schadensersatzanspruch nach Art. 82 DSGVO geltend gemacht.

LG: Eingetretene Nachteile nur Bagatellschäden
Die Richter des LG lehnten die Forderung des Klägers ab, da es sich bei den eingetretenen Nachteilen allenfalls um Bagatellschäden handele. Vielmehr müsse der Verpflichtung zum Ausgleich eines immateriellen Schadens eine benennbare und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen. Eine solche könne beispielsweise in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden "Bloßstellung" liegen. Hierzu war es im vorliegenden Fall allerdings nicht gekommen.

Wann liegt ein immaterieller Schaden vor?
Ein immaterieller Schaden kommt nur dann in Betracht, wenn für den Betroffenen ein zwar immaterieller, aber dennoch spürbarer Nachteil entstanden ist. Ein Verstoß gegen Vorschriften der DSGVO allein führt nicht unmittelbar zum Schadensersatz. Insbesondere ist Art. 82 nicht so auszulegen, dass die Norm einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet.

Schadensbegründendes Risiko hat sich nicht realisiert
Die Verbreitung des Namens, Geburtsdatums, Geschlechts, der E-Mail-Adresse und der Telefonnummer des Klägers stelle jedenfalls im Streitfall „nur“ einen Bagatellschaden dar, so das Gericht. Der Auffassung des Klägers, diese Daten ließen sich für einen Identitätsdiebstahl nutzen, war entgegenzusetzen, dass es sich dabei allein um ein abstraktes, nicht sonderlich wahrscheinliches Risiko handele. Dieses habe sich jedenfalls zum Schluss der mündlichen Verhandlung noch nicht realisiert.

Auch Diebstahl der Transaktionsdaten war nicht erheblich
Darüber hinaus war das Gericht der Auffassung, dass sich nicht einmal aus einem nachweislichen Diebstahl der Transaktionsdaten ein Anspruch auf Schmerzensgeld ergebe. Dies begründeten die Richter damit, dass die Transaktionsdaten selbst keine kompromittierenden Inhalte enthalten. Die Tatsache, dass der Kläger seine Kreditkarte häufig für Kleinbeträge bei Tankstellen nutze, bei FastFood-Restaurants esse und (teilweise in Frankreich) bei Discountern einkaufe sei derart alltäglich und unverfänglich, dass es sich insgesamt um einen Bagatellschaden handele.

Uneinheitliche Rechtsprechung zu Art. 82 DSGVO
Auch diese Entscheidung verdeutlicht, dass es keine klare Linie gibt zur Bewertung von DSGVO-Schadensersatzansprüchen. Dabei häuften sich gerade in letzter Zeit Klagen und Entscheidungen zum Anspruch auf Schadensersatz für Betroffene von Datenschutzverstößen und Datenpannen. Da die Gerichte dabei teilweise sehr unterschiedlich urteilen, könnte eine aktuelle Vorlage des BVerfG zum EuGH mit der Frage zur Auslegung der in Art. 82 DSGVO behandelten Schadensersatzansprüche für mehr Rechtssicherheit sorgen (Beschluss vom 14.01.2021, Az. 1 BvR 2853/19). Dieser wird entscheiden, wie die Regelung des Art. 82 Abs. 1 DSGVO zum Schadensersatz auszulegen ist.


Landgericht Karlsruhe, Urteil vom 09.02.2021, Az. 4 O 67/20