Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
conrad.de
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
kayamo
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
placeforvegans.de
plentymarkets
Praktiker.de
Prestashop
PriceMinister.com
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B + B2C)
Verkauf über individuelle Kommunikation (B2B)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von Julius Ulrich

LG Darmstadt: DSGVO-Schadenersatz bei bloß abstrakter Schadenseignung

News vom 23.10.2020, 10:44 Uhr | Keine Kommentare

Gelangen personenbezogene Daten im Internet an unbefugte Dritte, können sie Menschen besonders schmerzhaft bloßstellen. Aus diesem Grund sind Unternehmen nach der DSGVO an strenge Datensicherheitsvorgaben gebunden. Werden personenbezogene Daten dennoch veruntreut, können Betroffene nach der DSGVO Schadensersatz verlangen. Dass dem Betroffenen dabei kein konkreter Schaden entstanden sein müsse und die bloße Gefahr eines Schadens genüge, entschied das LG Darmstadt mit Urteil vom 26.05.2020 (Az. 13 O 244/19) für eine Weiterleitung von Bewerbungsdaten an einen unbefugten Dritten.

I. Der Sachverhalt

Die Beklagte, eine Bank, leitete eine Nachricht im Verlauf eines Bewerbungsverfahrens versehentlich an einen Dritten auf der Plattform XING weiter. Die Nachricht, die für den nunmehr klagenden Bewerber bestimmt war, beinhaltete unter anderem Gehaltsvorstellungen des Bewerbers. Dieser erfuhr erst zwei Monate später von dieser Datenpanne. Daraufhin setzte er die Bewerbung vorerst ohne Beschwerde fort.

Nachdem der Bewerber von der Bank abgelehnt worden war, erhob er in Ansehung der unrechtmäßigen Datenübermittlung Klage auf Schadensersatz in Höhe von 2500,00 € gemäß Art. 82 DSGVO.

II. Die Entscheidung

Die Klage hatte in der Sache Erfolg. Das LG Darmstadt verurteilte die Beklagte am 26.05.2020 unter dem Aktenzeichen 13 O 244/19 zu 1000,00 € Schadensersatz.

Für die Begründung eines immateriellen Schadensersatzes nach Art. 82 DSGVO reiche grundsätzlich ein hohes Risiko für Rechte und Freiheiten des Betroffenen aus, welches aus der Datenschutzverletzung resultiere.

Ein solches hohes Risiko bestehe dann, wenn zu erwarten sei, dass bei ungehindertem Geschehensablauf mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten des/der Betroffenen eintrete. In einem solchen Fall sei es nicht maßgeblich, ob die Datenschutzverletzung auch zu einen besonders hohen Schadensumfang geführt habe.

In der gegenständlichen unbefugten Übermittlung von personenbezogenen Daten des Klägers an einen unberechtigten Dritten habe sich ein voraussichtliches hohes Risiko für die klägerischen persönlichen Rechte und Freiheiten aber gerade manifestiert.

Infolge der Datenübermittlung habe der Kläger nämlich die Kontrolle darüber verloren, wer Kenntnis davon habe, dass er sich bei der Beklagten beworben habe. Diese Informationen seien, so das Gericht, auch dazu geeignet, den Kläger zu benachteiligen, wenn diese Informationen an etwaige Konkurrenten für einen Arbeitsplatz gelangen, oder gar den Ruf des Klägers zu schädigen, wenn z.B. der derzeitige Arbeitgeber des Klägers erfahren hätte, dass sich der Kläger nach anderweitigen Arbeitsstellen umschaue.

Zwar habe der Kläger vorliegend konkrete Nachteile nicht vorgetragen. Dies hindere aber vorliegend einen Schadensersatzanspruch nicht, weil die unberechtigte Entäußerung der sensiblen Informationen abstrakt zur Rufschädigung geeignet sei.

Ausschließlich bei der Höhe des geltend gemachten Schadensersatzes berücksichtigte das Gericht, dass dem Kläger rein tatsächlich keine beruflichen oder persönlichen Beeinträchtigungen infolge des Datenlecks widerfahren sind.

Insofern hielt es einen Schadensersatz von nur 1.000,00€ anstatt der geltend gemachten 2500,00€ für angemessen.

Banner Premium Paket

III. Fazit

Mit seinem Urteil vom 26.05.2020 (Az. 13 O 244/19) weicht das LG Darmstadt von der bisherigen Linie der deutschen Rechtsprechung zu DSGVO-Schadensersatzansprüchen ab, indem es erstmals nicht den Nachweis eines konkreten Schadenseintritts fordert.

Das LG Darmstadt lässt es vielmehr genügen, dass die rechtswidrige Entäußerung sensibler Bewerbungsdaten an einen Dritten abstrakt geeignet seien, die persönliche oder berufliche Reputation zu schmälern und den Betroffenen bei künftigen Stellensuchen gegebenenfalls zu benachteiligen.

Damit stellt das LG Darmstadt ein voraussichtliches hohes Schadensrisiko einem konkreten Schaden gleich, was zwar im Sinne der Betroffenen liegen dürfte, schadensrechtlich aber fragwürdig ist.

Wie dieser detailreiche Beitrag mit Rechtsprechungsanalyse zum DSGVO-Schadensersatz zeigt, muss nach überwiegender Ansicht der Gerichte in Ansehung der nationalen Rechtsvorschriften nämlich grundsätzlich ein konkreter Schaden - und nicht bloß eine abstrakte Schädigungsgefahr – dargelegt werden.

Es bleibt abzuwarten, wie sich die Entscheidung des LG Darmstadt in die Spruchpraxis deutscher Gerichte zu Art. 82 DSGVO einfügen und ob ihr in Zukunft für die Auslegung des Schadenserfordernisses Beachtung zukommen wird.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Julius Ulrich
Wissenschaftlicher Mitarbeiter der IT-Recht Kanzlei

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2021 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller