LG Darmstadt: DSGVO-Schadenersatz bei bloß abstrakter Schadenseignung

Gelangen personenbezogene Daten im Internet an unbefugte Dritte, können sie Menschen besonders schmerzhaft bloßstellen. Aus diesem Grund sind Unternehmen nach der DSGVO an strenge Datensicherheitsvorgaben gebunden. Werden personenbezogene Daten dennoch veruntreut, können Betroffene nach der DSGVO Schadensersatz verlangen. Dass dem Betroffenen dabei kein konkreter Schaden entstanden sein müsse und die bloße Gefahr eines Schadens genüge, entschied das LG Darmstadt mit Urteil vom 26.05.2020 (Az. 13 O 244/19) für eine Weiterleitung von Bewerbungsdaten an einen unbefugten Dritten.

I. Der Sachverhalt

Die Beklagte, eine Bank, leitete eine Nachricht im Verlauf eines Bewerbungsverfahrens versehentlich an einen Dritten auf der Plattform XING weiter. Die Nachricht, die für den nunmehr klagenden Bewerber bestimmt war, beinhaltete unter anderem Gehaltsvorstellungen des Bewerbers. Dieser erfuhr erst zwei Monate später von dieser Datenpanne. Daraufhin setzte er die Bewerbung vorerst ohne Beschwerde fort.

Nachdem der Bewerber von der Bank abgelehnt worden war, erhob er in Ansehung der unrechtmäßigen Datenübermittlung Klage auf Schadensersatz in Höhe von 2500,00 € gemäß Art. 82 DSGVO.

II. Die Entscheidung

Die Klage hatte in der Sache Erfolg. Das LG Darmstadt verurteilte die Beklagte am 26.05.2020 unter dem Aktenzeichen 13 O 244/19 zu 1000,00 € Schadensersatz.

Für die Begründung eines immateriellen Schadensersatzes nach Art. 82 DSGVO reiche grundsätzlich ein hohes Risiko für Rechte und Freiheiten des Betroffenen aus, welches aus der Datenschutzverletzung resultiere.

Ein solches hohes Risiko bestehe dann, wenn zu erwarten sei, dass bei ungehindertem Geschehensablauf mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten des/der Betroffenen eintrete. In einem solchen Fall sei es nicht maßgeblich, ob die Datenschutzverletzung auch zu einen besonders hohen Schadensumfang geführt habe.

In der gegenständlichen unbefugten Übermittlung von personenbezogenen Daten des Klägers an einen unberechtigten Dritten habe sich ein voraussichtliches hohes Risiko für die klägerischen persönlichen Rechte und Freiheiten aber gerade manifestiert.

Infolge der Datenübermittlung habe der Kläger nämlich die Kontrolle darüber verloren, wer Kenntnis davon habe, dass er sich bei der Beklagten beworben habe. Diese Informationen seien, so das Gericht, auch dazu geeignet, den Kläger zu benachteiligen, wenn diese Informationen an etwaige Konkurrenten für einen Arbeitsplatz gelangen, oder gar den Ruf des Klägers zu schädigen, wenn z.B. der derzeitige Arbeitgeber des Klägers erfahren hätte, dass sich der Kläger nach anderweitigen Arbeitsstellen umschaue.

Zwar habe der Kläger vorliegend konkrete Nachteile nicht vorgetragen. Dies hindere aber vorliegend einen Schadensersatzanspruch nicht, weil die unberechtigte Entäußerung der sensiblen Informationen abstrakt zur Rufschädigung geeignet sei.

Ausschließlich bei der Höhe des geltend gemachten Schadensersatzes berücksichtigte das Gericht, dass dem Kläger rein tatsächlich keine beruflichen oder persönlichen Beeinträchtigungen infolge des Datenlecks widerfahren sind.

Insofern hielt es einen Schadensersatz von nur 1.000,00€ anstatt der geltend gemachten 2500,00€ für angemessen.

III. Fazit

Mit seinem Urteil vom 26.05.2020 (Az. 13 O 244/19) weicht das LG Darmstadt von der bisherigen Linie der deutschen Rechtsprechung zu DSGVO-Schadensersatzansprüchen ab, indem es erstmals nicht den Nachweis eines konkreten Schadenseintritts fordert.

Das LG Darmstadt lässt es vielmehr genügen, dass die rechtswidrige Entäußerung sensibler Bewerbungsdaten an einen Dritten abstrakt geeignet seien, die persönliche oder berufliche Reputation zu schmälern und den Betroffenen bei künftigen Stellensuchen gegebenenfalls zu benachteiligen.

Damit stellt das LG Darmstadt ein voraussichtliches hohes Schadensrisiko einem konkreten Schaden gleich, was zwar im Sinne der Betroffenen liegen dürfte, schadensrechtlich aber fragwürdig ist.

Wie dieser detailreiche Beitrag mit Rechtsprechungsanalyse zum DSGVO-Schadensersatz zeigt, muss nach überwiegender Ansicht der Gerichte in Ansehung der nationalen Rechtsvorschriften nämlich grundsätzlich ein konkreter Schaden - und nicht bloß eine abstrakte Schädigungsgefahr – dargelegt werden.

Es bleibt abzuwarten, wie sich die Entscheidung des LG Darmstadt in die Spruchpraxis deutscher Gerichte zu Art. 82 DSGVO einfügen und ob ihr in Zukunft für die Auslegung des Schadenserfordernisses Beachtung zukommen wird.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.