IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de

LG Darmstadt: DSGVO-Schadenersatz bei bloß abstrakter Schadenseignung

23.10.2020, 10:44 Uhr | Lesezeit: 3 min
von Julius Ulrich
LG Darmstadt: DSGVO-Schadenersatz bei bloß abstrakter Schadenseignung

Gelangen personenbezogene Daten im Internet an unbefugte Dritte, können sie Menschen besonders schmerzhaft bloßstellen. Aus diesem Grund sind Unternehmen nach der DSGVO an strenge Datensicherheitsvorgaben gebunden. Werden personenbezogene Daten dennoch veruntreut, können Betroffene nach der DSGVO Schadensersatz verlangen. Dass dem Betroffenen dabei kein konkreter Schaden entstanden sein müsse und die bloße Gefahr eines Schadens genüge, entschied das LG Darmstadt mit Urteil vom 26.05.2020 (Az. 13 O 244/19) für eine Weiterleitung von Bewerbungsdaten an einen unbefugten Dritten.

Inhaltsverzeichnis

I. Der Sachverhalt

Die Beklagte, eine Bank, leitete eine Nachricht im Verlauf eines Bewerbungsverfahrens versehentlich an einen Dritten auf der Plattform XING weiter. Die Nachricht, die für den nunmehr klagenden Bewerber bestimmt war, beinhaltete unter anderem Gehaltsvorstellungen des Bewerbers. Dieser erfuhr erst zwei Monate später von dieser Datenpanne. Daraufhin setzte er die Bewerbung vorerst ohne Beschwerde fort.

Nachdem der Bewerber von der Bank abgelehnt worden war, erhob er in Ansehung der unrechtmäßigen Datenübermittlung Klage auf Schadensersatz in Höhe von 2500,00 € gemäß Art. 82 DSGVO.

II. Die Entscheidung

Die Klage hatte in der Sache Erfolg. Das LG Darmstadt verurteilte die Beklagte am 26.05.2020 unter dem Aktenzeichen 13 O 244/19 zu 1000,00 € Schadensersatz.

Für die Begründung eines immateriellen Schadensersatzes nach Art. 82 DSGVO reiche grundsätzlich ein hohes Risiko für Rechte und Freiheiten des Betroffenen aus, welches aus der Datenschutzverletzung resultiere.

Ein solches hohes Risiko bestehe dann, wenn zu erwarten sei, dass bei ungehindertem Geschehensablauf mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten des/der Betroffenen eintrete. In einem solchen Fall sei es nicht maßgeblich, ob die Datenschutzverletzung auch zu einen besonders hohen Schadensumfang geführt habe.

In der gegenständlichen unbefugten Übermittlung von personenbezogenen Daten des Klägers an einen unberechtigten Dritten habe sich ein voraussichtliches hohes Risiko für die klägerischen persönlichen Rechte und Freiheiten aber gerade manifestiert.

Infolge der Datenübermittlung habe der Kläger nämlich die Kontrolle darüber verloren, wer Kenntnis davon habe, dass er sich bei der Beklagten beworben habe. Diese Informationen seien, so das Gericht, auch dazu geeignet, den Kläger zu benachteiligen, wenn diese Informationen an etwaige Konkurrenten für einen Arbeitsplatz gelangen, oder gar den Ruf des Klägers zu schädigen, wenn z.B. der derzeitige Arbeitgeber des Klägers erfahren hätte, dass sich der Kläger nach anderweitigen Arbeitsstellen umschaue.

Zwar habe der Kläger vorliegend konkrete Nachteile nicht vorgetragen. Dies hindere aber vorliegend einen Schadensersatzanspruch nicht, weil die unberechtigte Entäußerung der sensiblen Informationen abstrakt zur Rufschädigung geeignet sei.

Ausschließlich bei der Höhe des geltend gemachten Schadensersatzes berücksichtigte das Gericht, dass dem Kläger rein tatsächlich keine beruflichen oder persönlichen Beeinträchtigungen infolge des Datenlecks widerfahren sind.

Insofern hielt es einen Schadensersatz von nur 1.000,00€ anstatt der geltend gemachten 2500,00€ für angemessen.

Banner Unlimited Paket

III. Fazit

Mit seinem Urteil vom 26.05.2020 (Az. 13 O 244/19) weicht das LG Darmstadt von der bisherigen Linie der deutschen Rechtsprechung zu DSGVO-Schadensersatzansprüchen ab, indem es erstmals nicht den Nachweis eines konkreten Schadenseintritts fordert.

Das LG Darmstadt lässt es vielmehr genügen, dass die rechtswidrige Entäußerung sensibler Bewerbungsdaten an einen Dritten abstrakt geeignet seien, die persönliche oder berufliche Reputation zu schmälern und den Betroffenen bei künftigen Stellensuchen gegebenenfalls zu benachteiligen.

Damit stellt das LG Darmstadt ein voraussichtliches hohes Schadensrisiko einem konkreten Schaden gleich, was zwar im Sinne der Betroffenen liegen dürfte, schadensrechtlich aber fragwürdig ist.

Wie dieser detailreiche Beitrag mit Rechtsprechungsanalyse zum DSGVO-Schadensersatz zeigt, muss nach überwiegender Ansicht der Gerichte in Ansehung der nationalen Rechtsvorschriften nämlich grundsätzlich ein konkreter Schaden - und nicht bloß eine abstrakte Schädigungsgefahr – dargelegt werden.

Es bleibt abzuwarten, wie sich die Entscheidung des LG Darmstadt in die Spruchpraxis deutscher Gerichte zu Art. 82 DSGVO einfügen und ob ihr in Zukunft für die Auslegung des Schadenserfordernisses Beachtung zukommen wird.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Checkliste der IT-Recht Kanzlei: Vorgehensweise bei Datenpannen im eigenen Online-Shop + Muster
(16.04.2024, 14:24 Uhr)
Checkliste der IT-Recht Kanzlei: Vorgehensweise bei Datenpannen im eigenen Online-Shop + Muster
DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars
(16.04.2024, 14:16 Uhr)
DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de

© 2004-2024 · IT-Recht Kanzlei