OLG Frankfurt a.M.: Irrtümliche Datenweiterleitung an Dritten allein reicht für DSGVO-Schadensersatz nicht aus

Gerade im Online-Handel besteht das latente Risiko, personenbezogene Daten aufgrund von Unachtsamkeiten oder technischen Störungen fälschlicherweise an einen Dritten zu übermitteln. Schnell ist eine Mail an den falschen Empfänger versandt, schnell werden Kunden- oder Auftragsdaten irrtümlich weitergeleitet. Dass es sich dabei zwar um einen Datenschutzverstoß handelt, dieser aber nicht per se zum Schadensersatz berechtigt, entschied nun das OLG Frankfurt a.M. Lesen Sie mehr zur Entscheidung.

I. Der Sachverhalt

Die Beklagte ist eine Bank, die auf der Plattform „Xing“ eine Stellenanzeige veröffentlicht hatte. Der Kläger ist ein Bewerber, welcher der Beklagten über „Xing“ seine Bewerbungsunterlagen übermittelt hatte.

Im Laufe des Bewerbungsprozesses leitete die Beklagte irrtümlicherweise die folgende, für den Kläger bestimmte Nachricht, an einen anderen Xing-Profilinhaber weiter:

Lieber Herr (...), ich hoffe es geht Ihnen gut! Unser Leiter - Herr (...) - findet ihr (…) Profil sehr interessant. Jedoch können wir ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße,

Die Beklagte informierte den Kläger darauf zwar erst Monate später über den Faux-Pas, der Kläger rügte diesen aber nicht weiter.

Erst, als die Beklagte ihn für die ausgeschriebene Stelle ablehnte und er aus dem Bewerbungsprozess ausschied, machte der Kläger unter anderem einen Schadensersatzanspruch aufgrund des Datenschutzverstoßes wegen der ungerechtfertigten Preisgabe seiner Daten gegenüber einem Dritten geltend.

Nachdem eine außergerichtliche Einigung nicht hatte erzielt werden können, sprach das Landgericht Darmstadt dem Kläger mit Urteil v. 26.05.2020 (Az.: 13 O 244/19) einen DSGVO-Schadensersatzanspruch in Höhe von 1000,00€ zu.

Gegen dieses Urteil legte die Beklagte beim OLG Frankfurt a.M. daraufhin Berufung ein.

II. Die Entscheidung

Als Berufungsgericht gab das OLG Frankfurt a.M. mit Urteil vom 02.02.2022 (Az.: 13 U 206/20) der Berufung statt und hob das erstinstanzliche Urteil auf.

Nach Ansicht des Senats reiche ein bloßer Datenschutzverstoß nicht aus, um einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO zu begründen.

Vielmehr sei auch der Nachweis eines konkreten immateriellen Schadenseintritts erforderlich. Die Vorschrift erkläre nur einen „entstandenen“ Schaden für ersatzfähig, sodass ein solcher substantiiert vorgetragen werden müsse. Die bloße Befürchtung eines Schadenseintritts reiche nicht aus.

Zwar mache der Kläger geltend, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen.

Ein bloßes Unbehagen oder Schamgefühl, das aus dem Datenschutzverstoß resultiere, genügten aber nicht. Vielmehr setze der Anspruch einen spürbaren Nachteil voraus, der aus einer objektiv nachvollziehbaren, mit gewissem Gewicht erfolgten Beeinträchtigung von persönlichkeitsbezogenen Belangen resultiere.

III. Fazit

Das OLG Frankfurt a.M. folgt mit seiner Entscheidung der breiten Linie deutscher Gerichte, die für einen DSGVO-Schadensersatzanspruch einen bloßen Datenschutzverstoß nicht ausreichen lassen.

Um eine Ausuferung von Ersatzforderungen für tatsächliche folgenlose Datenpannen zu unterbinden, muss nach überwiegender Rechtsprechung stets auch eine aus dem Ereignis konkret erlittene persönlichkeitsrechtliche Beeinträchtigung von gewissem Gewicht dargelegt werden.

Die bloße Behauptung persönlichen Unbehagens, Schams oder sonstiger subjektiver Gefühlslagen genüge für sich genommen nicht, um einen Schadensersatzanspruch nach Art. 82 DSGVO zu substantiieren.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.