Im Zusammenhang mit Datenschutzverletzungen ist oftmals die Rede von Schadensersatzforderungen der Betroffenen. Doch nicht jede Datenschutzverletzung führt zwangsläufig zu einem Schadensersatzanspruch. Dies zeigt auch der vom Landgericht Köln mit Urteil vom 07.10.2020 (Az. 28 O 71/20) kürzlich entschiedene Fall, wonach kein Schadensersatzanspruch bei Bagatellverstößen besteht.
Was war passiert?
Sowohl die Betroffene, als auch deren Mutter hatten jeweils ein Konto bei einer Bank. Die Mutter war bereits seit 2014 unter Betreuung gestellt worden. Als Betreuer war ein Rechtsanwalt bestellt, der die Kontoauszüge für die betreute Mutter per Post zugesendet bekam. Im Jahr 2015 starb die Mutter. Ihr Konto wurde daraufhin auf die Klägerin umgeschrieben. Hierbei wurde aus Versehen die Versandadresse für die Kontoauszüge der Mutter im System der Bank nicht geändert.
Anfang Dezember 2019 übersandte die Bank die Kontoauszüge des betreffenden Kontos mit den Kontobewegungen von Oktober bis November 2019 – wie vor dem Tod der Mutter – an die Kanzleiadresse des früheren Betreuers. Dort angekommen, wurde der Brief mit den Kontoauszügen geöffnet und die Auszüge mit dem Eingangsstempel der Kanzlei versehen. Als der Rechtsanwalt anschließend den Fehler der Bank bemerkte, schickte er die Auszüge am 18.12.2019 an die Betroffene.
Diese wandte sich noch am selben Tag an die Bank. Der Datenschutzbeauftragte der Bank nahm umgehend Kontakt zur Betroffenen auf, um den Sachverhalt aufzuklären. Eine im Nachgang an die Betroffene versendete E-Mail mit weiteren Informationen fand jedoch keine Beachtung. Vielmehr forderte die Betroffene durch anwaltliches Schreiben vom 31.12.2019, neben der Abgabe einer strafbewehrten Unterlassungserklärung und datenschutzrechtlicher Auskunft, auch die Zahlung eines Schmerzensgelds in Höhe von 25.000 €. Die Schmerzensgeldforderung wurde damit begründet, dass der Kontakt mit dem besagten Rechtsanwalt bei der Betroffenen schlimme Erinnerungen an eine sehr belastenden Erbstreitigkeit im Jahr 2015 über das Vermögen ihres ebenfalls verstorbenen Vaters wach werden ließ. Die Betroffene habe sich aufgrund der Post des Anwalts sofort an eine schreckliche Zeit erinnert. Das sei für sie zutiefst verletzend gewesen. Dass sie ausgerechnet von diesem Anwalt Informationen zu ihrem Konto erhalten habe, sei unerträglich. Auch ihre Gesundheit sei beeinträchtigt. Zudem habe sie das Verhalten der Bank und deren Reaktion als unerträglich und verletzend empfunden. Die Weitergabe von Bankdaten stelle einen schweren Verstoß gegen die DSGVO dar. Ihr stehe ein immaterieller Schadensersatzanspruch gemäß Art. 82 DSGVO und somit Anspruch auf Schmerzensgeld zu. Da die Bank lediglich den Auskunftsanspruch erfüllte und im Übrigen ablehnte, reichte die Betroffene Klage ein.
So entschied das LG Köln
Das Landgericht wies die Klage der Betroffenen ab. Zum einen habe die Klägerin nach Ansicht des Gerichts den entstandenen immateriellen Schaden nicht konkret vorgetragen. Zum anderen stelle der Fehlversand lediglich eine Bagatelle dar. Die Bank habe die versäumte Adressberichtigung im System direkt nach Kenntnis des Fehlers nachgeholt. Darüber hinaus sei es nur zu einem einmaligen Fehlversand gekommen. Eine zusätzliche Weitergabe der Kontoinformationen sei nicht erfolgt. Einen Zuspruch von Schadensersatz in derartigen Bagatellfällen sei nach Auffassung des Gerichts nicht mit Art. 82 DSGVO vereinbar, auch wenn die Klägerin den Vorgang subjektiv als sehr belastend empfunden habe, da dies die Gefahr einer nahezu uferlosen Häufung der Geltendmachung von derartigen Schadensersatzansprüchen berge.
Fazit
Nicht jeder Datenschutzverstoß begründet zwangsläufig einen Schadensersatzanspruch der Betroffenen. Hierfür ist eine konkrete Darlegung erforderlich, worin der entstandenen Schaden besteht. Vor diesem Hintergrund besteht kein Schadensersatzanspruch bei Bagatellverstößen. Zu beachten ist jedoch, dass unabhängig davon ein Bußgeld dennoch möglich ist.
Weiterer interessanter Artikel: Meldefrist bei Datenschutzverletzungen: sind 72 Stunden wirklich 72 Stunden?