Blog-Übersicht
Schadenersatz bei Datenschutzverletzung
Schadenersatz bei Datenschutzverletzung
Inder Folge soll eine Judikaturübersicht über nationale, aber auchinternationale Anwendungsfälle des immateriellen Schadenersatzes bei Datenschutzverletzungengegeben werden.
Bleibtnach Beendigung eines Arbeitsvertrages das Onlineprofil desEx-Mitarbeiters weiterhin über das Internet abrufbar, können dem BetroffenenAnsprüche auf Schmerzensgeld zustehen. Der Klägerin wurde ein Schmerzensgeldvon EUR 300,00 zugesprochen.[1]Die vorgerichtlichen Anwaltskosten waren jedoch nicht erstattungsfähig, da Art82 DSGVO nur den primären Schadenersatz hinsichtlich der immateriellen Schäden, die durch einen Datenschutzverstoß entstanden, erfasst. Die Erstattung sekundärer Schäden wie Rechtsverfolgungskosten richten sich hingegen nachnationalem Recht.[2] In einer ähnlichen Sache wurden einem ehemaligen Mitarbeiter EUR 1.000,00 zugesprochen, nachdem seine Mitarbeitervorstellung auf der Homepage des Unternehmens nach Ende des Arbeitsverhältnisses nicht entfernt wurde.[3]
Die Übermittlung von Mitarbeiterdaten an ein US-Unternehmen begründet nicht per se einen Schadenersatzanspruch. Der Schadensbegriff des Art 82 Abs 1 DSGVO decke zwar grundsätzlich auch geringfügige Schäden ab, die bereits in dem „ungutem Gefühl“ liegen könnten, dass personenbezogene Daten Unbefugten bekannt gewordenseien. Ein solcher Kontrollverlust der Daten kann demnach grundsätzlich einen Schadenersatz begründen. Im konkreten Fall war jedoch die Datenschutzverletzung nicht kausalfür einen zurechenbaren Schaden: Ein Kontrollverlust liege nicht vor, denn dasUnternehmen habe die personenbezogenen Daten vor Missbrauch gesichert.[4]Die Weiterleitung der vollständigen IP-Adresse eines Website-Besuchers an Alphabet, Inc („Google“) in den USA bei Nutzung von Google Fonts rechtfertigt – vermeintlich – einen Anspruch in der Höhe von EUR 100,00.[5]
Die inadäquate Sicherung von Daten, insbesondere nach Beendigung derGeschäftsbeziehung, und die dadurch begünstigte Entwendung von Daten durch Cyber-Kriminelle kann einen immateriellen Schadenersatz begründen.[6]Der Verantwortliche war für den eingetretenen Schaden kausal, da es bei Einhaltung der adäquaten Sicherheitsmaßstäbe nicht zum konkreten Datenvorfallgekommen wäre. Der betroffenen Person wurde ein Schadenersatz von EUR 1.200,00 zugesprochen. Die Kriterien für Geldbußen nach Art 83 Abs 2 DSGVOsind auch auf den Schadenersatzanspruch anwendbar. Wurden die Daten auchgenutzt um in betrügerischer Absicht Darlehensanträge im Namen des Kunden abzuschließen, rechtfertigt dies einen Anspruch in der Höhe von EUR 2.500,00.[7]
Datenschutz und Schadenersatz: Gerichtsverfahren
Das unerlaubte Zusenden einer Werbe-E-Mail und die unvollständige Auskunftüber die Herkunft der Daten führen zu einem Anspruch zwischen EUR 25,00[8]und EUR 300,00.[9] Demnach kann E-Mail-Marketing ohne Einwilligung einen Schmerzensgeldanspruch des Adressaten nach Art 82 DSGVO rechtfertigen, wenn die Zusendung zu einem kausalen Schaden führt. Ein solcher Schaden kann bei dem „unguten Gefühl“ eines Kontrollverlustes sowie bei Ängsten, Stress, Komfort- und Zeiteinbußen vorliegen. Ist dem Empfänger einer unerwünschten Werbemail bloß insoweit ein Schaden entstanden, als er sich mit dieser auseinandersetzen, deren Herkunft ermitteln, sich um eine Auskunft von dem Absender mittels eines Schreibens bemühen und die unerwünschte E-Maillöschen musste, rechtfertigt dies einen pauschalen Schadenersatz in der Höhevon EUR 25,00.[10]
Für eine ungerechtfertigte Diffamierung eines Komponisten auf Wikipedia wurden einem klagenden Komponisten EUR 8.000,00 an Schadenersatz zugesprochen.[11]
Das Versenden eines Kontoauszuges, aus dem auch ein in Anspruch genommener Dispositionskredit ersichtlich ist, an einen Dritten führt zu einem Anspruch inder Höhe von EUR 500,00.[12]
Wird ein Mitarbeiter durch einen Detektiv unzulässig für die Dauer von sechsTagen observiert, so hat er gegenüber seinem Arbeitgeber einen Anspruch in derHöhe von EUR 1.500,00 (EUR 250,00 pro Tag).[13] Übermittelt der Geschäftsführer eines Vereins aus privaten Gründen die Daten eines Mitgliedswerbers an einen Detektiv, um mögliche Vorstrafen zu evaluieren, soführt dies zu einem Anspruch gegen den Verein und den Geschäftsführer in derHöhe von EUR 5.000,00.
DSGVO-Verstoß und Schadenersatz: Gerichtliche Klage
Das LAG Hamm hatte einen Fall zu entscheiden, in dem die Daten von Mitarbeitern ohne deren Einwilligung an eine konzernweite Datenbank übermittelt wurden. Angemessen war in diesem Fall ein Anspruch in der Höhe von EUR 2.000,00.[15]
Einer Mitarbeiterin wurden EUR 2.000,00 zugesprochen, weil sie nur mündlich in die Anfertigungeines Werbevideos eingewilligt hat und sie über den Verarbeitungszweck und ihr Widerrufsrecht nicht informiert wurde.[16]Nutzt ein Arbeitgeber das Foto einer Mitarbeiterin für Werbezwecke in einem auf ihre Hautfarbe bezogenen Zusammenhang ohne ihre Einwilligung, sorechtfertigt dies ein Schmerzengeld von EUR 5.000,00.[17]
Versendet eine Krankenkasse die Gesundheitsakte eines Versicherten unverschlüsselt an einfalsches E-Mail-Postfach, so ist zum Ausgleich des immateriellen Schadens im Einzelfall ein Betrag von EUR 2.000,00 angemessen.[18]
Erfüllt der Betreiber eines sozialen Netzwerks das Auskunftsverlangen eines Nutzers über lange Zeit nicht vollständig, so besteht ein Anspruch in der Höhevon EUR 500,00, wenn der Schaden sich „nur“ in einem Kontrollverlust und einemmassiven „Genervt-Sein“ des Nutzers äußert.[19]Auch das OLG Köln hat entschieden, dass ein immaterieller Schadenersatz in der Höhevon EUR 500,00 wegen verspäteter Auskunft nach Art 15 DSGVOgerechtfertigt sein kann.[20] DasLG Feldkirch hat hingegen entschieden, dass wegen einer verspäteten Auskunftserteilung entgegen Art 12 Abs 3 DSGVO keinAnspruch auf Ersatz immateriellen Schadens besteht.[21]Erteilt ein Arbeitgeber die Auskunft nach Art 15 DSGVO erst drei Monate nach Erhaltdes Auskunftsersuchens, so geht das Arbeitsgericht Neumünster von einemSchmerzensgeld von EUR 500,00 für jeden Monat der Verspätung aus, im entschiedenen Fall also von gesamt EUR 1.500,00.[22]Eine um neun Monate verzögerte Auskunft über die Verarbeitung personenbezogener Daten durch einen Anwalt rechtfertigt einen Schadenersatzanspruch von EUR500,00.[23]
Die unbefugte GPS-Ortung eines Mitarbeiters während einer Urlaubsreise ist geeignet den Betroffenen in der Öffentlichkeit bloßzustellen und rechtfertigt ein Schmerzengeld von EUR 400,00 pro Monat.[24]
Das heimliche Mitlesen eines E-Mail-Accounts eines Geschäftspartners für die Dauer von über einem Jahr rechtfertigt einen Schadenersatz in der Höhe von EUR5.000,00.[25]
Zuspruch eines immateriellen Schadenersatzes in der Höhe von EUR 5.000,00 aus Art 82 DSGVO wegen eines unberechtigten Schufa-Eintrags.[26]
Ein Hardwarehändler, der einen gebrauchten PC weiterveräußerte, ohne die auf der Festplatte gespeicherten Daten zu löschen, und der diese Daten dadurch einem Neukäufer zugänglich machte, wurde zu einer Zahlung von EUR 800,00 verurteilt.[27]
Werden aus einem Bewerbungsvorgang persönliche Daten unerlaubt an Dritteweitergesandt, kann bei dem Betroffenen ein immaterieller Schaden in der Form eintreten, dass dieser die Kontrolle darüber verliert, wer Kenntnis von seiner Bewerbung hat. Das dem Betroffenen gemäß Art 82 Abs 1 DSGVO zustehende Schmerzensgeld beläuft sich für den Fall, dass keine konkreten Nachteile vorliegen, regelmäßig auf EUR 1.000,00.[28]
Wegen mehreren Verstöße gegen die DSGVO im Zusammenhang mit Scraping bei Facebook hat der Kläger einen Anspruch auf ein Schmerzensgeld in Höhe von 500,00 Euro.
Literatur-Empfehlung: Digitalisierung und Recht 2023, Private-Enforcement, Tretzmüller
[1] Vgl LAG Köln 14. 9. 2020,2 Sa 358/20 [Onlineprofil]; ähnlich ArbG Münster 25. 3. 2021, 3 Ca 391/20 [Mitarbeiterfoto].
[2] Vgl von Blumenthal/Niclas,LAG Köln: Schmerzensgeld für Abrufbarkeit eines Mitarbeiterprofils nach Ende desArbeitsverhältnisses, ITRB 5/2021, 101.
[3] Vgl ArbG Neuruppin 14. 12. 2021, 2 Ca 554/21 [Mitarbeiterfoto]; Weber,CR 8/2022, 503 (507).
[4] Vgl LArbG Baden-Württemberg25. 2. 2021, 17 Sa 37/20 [Drittlandtransfer]; Kartheuser, Keinimmaterieller Schaden wegen Kontrollverlusts bzgl. personenbezogener Daten, ITRB6/2021, 132.
[5] Vgl LG München 20. 1. 2022, 3 O 17493/20 [Google Fonts].
[6] Vgl LG München I 9. 12. 2021, 31 O 16606/20 [inadäquate TOMs];Rössel, ITRB 10/2022, 227.
[7] Vgl LG München I 9. 12. 2021, 31 O 16606/20[inadäquate TOMs]; Weber, CR 8/2022, 503 (506).
[8] Vgl LG Heidelberg 16. 3. 2022, 4 S 1/21 [SPAM].
[9] Vgl AG Pfaffenhofen an derIlm 9. 9. 2021, 2 C 133/21 [SPAM].
[10] Vgl LG Heidelberg 16. 3. 2022, 4 S 1/21;.
[11] Vgl LG Koblenz 14. 1. 2021, 9 O 80/20 [Wikipedia].
[12] Vgl OLG Frankfurt 14. 4. 2022, 3 U 21/20 [Kontoauszug]; Weber, CR8/2022, 503 (506).
[13] Vgl LAG Hessen 18. 10. 2021, 16 Sa 380/20 [Observierung]; Weber, CR 8/2022, 503 (507).
[14] Vgl OLG Dresden 30. 11. 2021, 4 U 1158/21 [Observation]; Weber, CR 8/2022, 503 (507).
[15] Vgl LAG Hamm 14. 12. 2021, 17 Sa 1185/20 [Konzerndatenbank]; Weber, CR 8/2022, 503 (507).
[16] Vgl LAG Schleswig-Holstein, Beschluss vom 1. 6. 2022, 6 Ta 49/22[Mitarbeiter-Einwilligung]; Weber, CR 8/2022, 503 (507).
[17] Vgl ArbG Münster 25. 3. 2021, 3 Ca 391/20 [Mitarbeiterfoto]; Weber, CR 8/2022, 503 (507).
[18] Vgl OLG Düsseldorf 28. 10. 2021, 16 U 275/20 [Gesundheitsakte]; Weber, CR 8/2022, 503 (507).
[19] Vgl OGH 23. 6. 2021, 6 Ob 56/21k [Genervt]; Weber, CR 8/2022, 503(507).
[20] Vgl OLG Köln 14. 7. 2022, 15 U 137/21 [Auskunft]; Hrube, OLG Köln: Immaterieller Schadensersatz wegen verspäteterDSGVO-Auskunft, CR 9/2022 R103.
[21] Vgl LG Feldkirch 7. 8. 2019, 57 Cg 30/13b.
[22] Vgl ArbG Neumünster 11. 8. 2020, 1 Ca 247 c/20; Weber, CR 6/2021, 379 (382).
[23] Vgl OLG Köln 14. 7. 2022, 15 U 137/21.
[24] Vgl OGH 22. 1. 2020, 9 Ob A 120/19s[GPS-Tracking]; Thiele/Wagner, DSG2 685.
[25] Vgl OLG München 4. 12. 2019, 15 U 3688/18 [Mitlesen von E-Mail]; Thiele/Wagner, DSG2 686.
[26] Vgl LG Mainz 12. 11. 2021, 3 O 12/20 [Schufa-Eintrag];Thiele/Wagner, DSG2 686.
[27] Vgl AG Hildesheim 5. 10. 2020, 43 C 145/19 [Hardwarehändler]; Weber, CR 6/2021, 379 (381).
[28] Vgl LG Darmstadt 26. 5. 2020, 13 O 244/19 [Bewerbung];
[29] Vgl LG Paderborn, Urteilvom 19. 12. 2022, Az. 3 O 99/22 [Scraping] (Hoeren).
Blog-Übersicht