Schadenersatz nach DSGVO verlangt ernsthafte Beeinträchtigung

Das Amtsgericht Frankfurt a.M entschied am 10.07.2020, dass ein bloßes Unbehagen oder ein Bagatellverstoß für einen Schadenersatzanspruch nach DSGVO nicht ausreiche. Vielmehr setze dieser eine ernsthafte Beeinträchtigung voraus. Die Beweislast dafür trage der Kläger.

Ab wann besteht ein Schadenersatzanspruch nach DSGVO?
Kläger war ein Hotelgast; Beklagte die Franchisenehmerin einer größeren Hotelkette. Der Kläger hatte in den letzten Jahren mehrfach in Hotels der Beklagten übernachtet. Daher speicherte die Beklagte die Klägerdaten in einem Registrierungssystem. Dies umfasste insbesondere Daten, die vom Kläger bei der Buchung angegeben wurden wie Name, Anschrift, Kreditkartennummer und Passnummer sowie Daten, die während des Aufenthaltes des Klägers in den Hotels gesammelt wurden wie Angaben zu Minibar und Snacks. Der Kläger erfuhr später aus der Presse, dass es einen Fehler im Registriersystem der Beklagten gab. Dadurch konnten gespeicherte Daten an Dritte gelangen. Der Kläger bat um Auskunft, ob und welche seiner Daten betroffen waren. Hierauf bat die Beklagte um Verlängerung der einmonatigen Frist zur Auskunftserteilung. Sechs Wochen später erfolgte das Antwortschreiben durch den „Data Protection Officer“ der Hotelkette. Für weitere Informationen wurde der Kläger auf die Internetseite verwiesen. Wenige Tage später erhielt der Kläger von der Beklagten zudem eine Zusammenstellung von Bildschirm- und Tabellenausdrucken. Da die Auskunft nach Ansicht des Klägers verspätet und unvollständig erfolgte, verlangte er Schadenersatz. Diesen begründete er mit einem „Gefühl des Unbehagens“, weil seine persönlichen Daten in Zukunft von Dritten genutzt werden könnten.

Verstoß gegen DSGVO
Das Amtsgericht Frankfurt befand, dass es unstreitig zu einem Verstoß gegen die Datenschutzverordnung (DSGVO) gekommen sei. Die personenbezogenen Daten des Klägers seien in einer Weise verarbeitet worden, die eine angemessene Sicherheit seiner Daten nicht gewährleistet habe. Es sei kein hinreichender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen gewährleistet worden. Dadurch seien die Daten an Dritte gelangt oder hätten an Dritte gelangen können.

Beklagte als Verantwortliche des Verstoßes
Auch sei die Beklagte verantwortlich für den Datenschutzverstoß, so das Gericht weiter. Hierfür sei Voraussetzung, dass sie an einem Verarbeitungsvorgang beteiligt gewesen sei. Der Begriff der Beteiligung sei weit auszulegen. Bereits die Beteiligung an einem Einzelvorgang in einer Vorgangsreihe reiche aus. Zwar habe die Beklagte behauptet, kein Verantwortlicher zu sein. Denn sie verfüge weder über die Mittel des Datenverarbeitungssystems, noch entscheide sie über die Zwecke der Datenverarbeitung mit. Außerdem liege der Server in den USA. Hierbei sei aber zu berücksichtigen, dass die Beklagte das Gästereservierungssystem im Jahr 2016 übernommen und nach und nach bis Dezember 2018 auf ein anderes System umgestellt habe. Die Datenschutzverletzung sei zu einem Zeitpunkt erfolgt, in dem die Beklagte das System bereits genutzt habe. Somit habe die Beklagte das System verwendet und sei an Vorgängen im Sinne der DSGVO beteiligt gewesen.

Unverzügliche Mitteilung über Datenverletzung
Das AG entschied, dass die Beklagte nicht gegen die Mitteilungspflicht verstoßen habe. Sie habe unverzüglich nach Feststellung, dass auf personenbezogene Daten zugegriffen wurde, darüber auf der Webseite berichtete und eine Pressemitteilung veranlasst. Auf die individuelle Nachfrage des Klägers hin habe die Beklagte innerhalb von wenigen Tagen reagiert und um Fristverlängerung für die Auskunft gebeten. Sechs Wochen später habe sie dem Kläger Auskunft erteilt und Tabellenübersichten zur Verfügung gestellt. Dies dürfe zwar nicht mehr als unverzüglich gelten, da der Kläger im Ungewissen gelassen wurde, ob seine personenbezogenen Daten vom unbefugten Zugriff betroffen gewesen seien. Allerdings habe die Beklagte mit der Pressemitteilung und der Mitteilung auf ihrer Webseite alle Kunden, die möglicherweise betroffen waren, über den Fehler informiert. So habe der Kläger gewusst, dass die Möglichkeit einer Verletzung seiner personenbezogenen Daten besteht. Aufgrund der hohe Anzahl von individuellen Anfragen sei eine Wartezeit von sechs Wochen auf eine umfangreiche Auskunft nicht unangemessen lang.

Spürbare Verletzung für Schadenersatzanspruch
Der bloße Verstoß gegen Integrität und Vertraulichkeit bei der Datenverarbeitung sei allein nicht ausreichend, einen Schadensersatzanspruch zu begründen, urteilte das Amtsgericht. Es fehle nämlich der kausale Schaden. Der Kläger berufe sich zwar auf einen immateriellen Schaden. Er lebe mit einem Gefühl des Unbehagens, dass seine Daten künftig unbefugt verwendet werden können. Grundsätzlich seien auch immaterielle Schäden bei Persönlichkeitsrechtsverletzungen ersatzfähig. Allerdings müsse die Beeinträchtigung objektiv nachvollziehbar und feststellbar sein. Eine solche Verletzung müsse zwar nicht schwerwiegend sein. Trotzdem brauche es eine spürbare Verletzung. Eine individuell empfundene Unannehmlichkeit oder ein Bagatellverstoß ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person reiche dafür jedoch nicht aus. Es müsse zumindest eine öffentliche Bloßstellung vorliegen.

Beweislast liegt beim Kläger
Der Kläger habe nicht dargelegt, durch die Verletzung des Datenschutzes in irgendeiner Weise gesellschaftliche oder persönliche Nachteile erlitten zu haben, so das Gericht. Die Darlegungs- und Beweislast für diese anspruchsbegründende Tatsache liege aber beim Kläger. In dieser Hinsicht sei er seiner Darlegungspflicht nicht hinreichend nachgekommen. Lediglich beim Nachweis der Kausalität zwischen der Verletzung des Datenschutzes und dem Schaden dürfe der Betroffene Beweiserleichterungen erfahren. Dies komme aber vorliegend mangels Schadens nicht in Betracht.

Amtsgericht Frankfurt a.M., Urteil vom 10.07.2020, Az. 385 C 155/19 (70)