Der Datenschutz und die Verarbeitung personenbezogener Daten sind weiterhin ein umstrittenes Thema im deutschen und europäischen Rechtssystem. Jüngst hatte das Oberlandesgericht (OLG) Frankfurt am Main über die Frage zu entscheiden, ob ein Anspruch auf Schadensersatz bei irrtümlicher Datenweitergabe an einen Dritten besteht (OLG Frankfurt a.M., Beschl. v. 02.02.2022 – 13 U 206/20).
Vorliegend bewarb sich der Kläger bei einer Bank (spätere Beklagte) als neuer Mitarbeiter. Der Bewerbungsprozess erfolgte über das Portal XING. Die Beklagte hatte versehentlich eine Nachricht, die für den Bewerber bestimmt war, an einen Dritten weitergeleitet. Die Nachricht hatte folgenden Inhalt:
„Lieber Herr B, ich hoffe es geht Ihnen gut! Unser Leiter – Herr C – findet ihr Händler Profil sehr interessant. Jedoch können wir Ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, D“
Der Kläger war der Ansicht, dass diese fehlerhafte Datenweitergabe einen Verstoß gegen die DSGVO darstellte und forderte Schadensersatz, nachdem er die gewünschte Stelle in der Bank nicht bekommen hat. In der 1. Instanz bekam der Kläger einen DSGVO-Schadensersatz aufgrund der irrtümlichen Datenweitergabe an einen Dritten in Höhe von 1.000 € zugesprochen (LG Darmstadt, Urt. v. 26.05.2020 – Az.: 13 O 244/19).
Diese Entscheidung wurde zunächst vom OLG Frankfurt a.M. in der Berufungsinstanz „einkassiert“. Das OLG entschied, dass der Kläger keinen Anspruch auf Schadensersatz gemäß Artikel 82 DSGVO hat. Ein solcher Anspruch setze grundsätzlich voraus, dass dem Betroffenen ein tatsächlicher Schaden entstanden ist. Das Gericht stellte fest, dass im vorliegenden Fall der bloße Verstoß gegen die DSGVO und die versehentliche Weitergabe der Daten nicht ausreiche, um einen Schadensersatzanspruch zu begründen. Der Kläger könne keine konkreten negativen Auswirkungen oder Schäden nachweisen, die aus der Datenweitergabe resultierten. Weder seien seine Rechte erheblich beeinträchtigt, noch war ein finanzieller oder emotionaler Schaden erkennbar.
Das Gericht ging davon aus, dass eine tatsächliche Schädigung im Sinne der DSGVO erst dann vorliege, wenn der Betroffene durch den Datenschutzverstoß in irgendeiner Weise konkret und nachweisbar benachteiligt wird. Zudem wies das Gericht darauf hin, dass der Datenschutz auch eine präventive Funktion hat. Der Schutz personenbezogener Daten sei daher von erheblicher Bedeutung, jedoch dürften die Betroffenen nicht pauschal für jede Datenschutzverletzung Schadensersatz verlangen, wenn keine tatsächlichen Nachteile nachgewiesen werden können.
Der Fall wurde nun zur Überprüfung an den BGH, 26.09.2023 – VI ZR 97/22 weitergegeben. Der BGH legte die rechtliche Fragestellung wiederum dem Europäischen Gerichtshof (EuGH) vor, um eine Klärung der Frage zu erhalten, ob für die Annahme eines immateriellen Schadens bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen, um einen Schadensersatzanspruch zu begründen (EuGH – C-655/23).
Das Urteil des EuGH lässt noch auf sich warten. Feststeht jedoch, dass das Urteil weitreichende Konsequenzen für zukünftige Ansprüche im Schadensersatz bei irrtümlicher Datenweitergabe an Dritte und im gesamten Datenschutzrecht haben wird.
Die noch junge DSGVO hat in seinen ersten 9 Jahren für ordentlich „Zündstoff“ gesorgt. Die Entscheidungen des LG Darmstadt und OLG Frankfurt erinnern an zwei weitere Fälle, in denen die Gerichtsbarkeiten nicht ganz einer Meinung waren:
Diese unterschiedlichen Entscheidungen werfen wichtige Fragen zur Auslegung und Anwendung der DSGVO auf. Während einige Gerichte die DSGVO als ausreichend erachten, um auch Schadensersatzansprüche bei irrtümlicher Datenweitergabe an Dritte zu begründen, sehen andere den Datenschutz nur dann als verletzt an, wenn ein konkreter Schaden nachgewiesen werden kann. In diesem Zusammenhang hat das „Facebook-Scraping-Urteil“ für viel Aufsehen gesorgt. 2021 hatten Unbekannte personenbezogene Daten – wie Name, Telefonnummer und E-Mail-Adresse – von ca. 533 Millionen Facebook-Nutzerinnen und -Nutzern von der Plattform heruntergeladen und veröffentlicht.
In der Folge verklagten Tausende Betroffene Facebook auf Schadensersatz. Hier hat der BGH einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO bejaht. Der „Kontrollverlust“ über personenbezogene Daten selbst sei ein Schaden, vgl. BGH, Urt. v. 31. Oktober 2024 – VI ZR 10/24. Ob neben dem „Kontrollverlust“ nun auch eine bloße irrtümliche Datenweitergabe ohne konkreten Schaden einen Schadensersatzanspruch begründen kann, ist von erheblicher Bedeutung. Sollte der EuGH entscheiden, dass auch ohne direkten Schaden ein Anspruch auf Schadensersatz bei irrtümlicher Datenweitergabe an Dritte bestehen kann, könnte dies weitreichende Folgen für Unternehmen haben, die personenbezogene Daten verarbeiten.
Die Entscheidungen des OLG Frankfurt, des LG München und des LG Wiesbaden verdeutlichen die Komplexität des Datenschutzrechts und die unterschiedliche Auffassung der Gerichte hinsichtlich der Haftung und Ansprüche im Falle von Datenschutzverstößen. Der BGH hat nun die Möglichkeit, mit seiner Vorlage an den EuGH eine klare Linie vorzugeben, wie mit Schadensersatz bei irrtümlicher Datenweitergabe an Dritte umzugehen ist. Unternehmen und betroffene Personen sollten daher die Entwicklung der Rechtsprechung aufmerksam verfolgen, da zukünftige Urteile wichtige Präzedenzfälle für den Datenschutz in Europa setzen könnten.
Rechtsanwalt Björn Thorben M. Jöhnke ist Partner der Kanzlei Jöhnke & Reichow Rechtsanwälte und seit 2017 Fachanwalt für Versicherungsrecht. Während seiner Anwaltstätigkeit hat er bereits eine Vielzahl von gerichtlichen Verfahren im Versicherungsrecht geführt und erfolgreich für die Rechte von Versicherungsnehmern gestritten.
Mit unserer Kompetenz streiten wir ehrgeizig für Ihr Ziel, nämlich Ihre Interessen durchzusetzen! Wir freuen uns, dass unsere Mandanten-/-innen unser Engagement schätzen und positiv bewerten.
Verpassen Sie auch zukünftig keinen Beitrag unserer Kanzlei. Über unseren 2mal monatlich erscheinenden Newsletter erhalten Sie stets die aktuellen Beiträge unserer Kanzlei zu den Themen Versicherungsrecht, Bank- und Kapitalmarktrecht, Vertriebsrecht, Handelsvertreterrecht und Wettbewerbsrecht. Wir freuen uns auf Ihre Anmeldung.