In diesem Blog soll kurz die aktuelle Rechtsprechung zum Thema „Höhe des Schadensersatzes einer Person wegen eines Verstoßes gegen die DSGVO“ referiert werden. Ich stelle wenige Fälle vor, die für IT Unternehmen von Interesse sind, es gibt viele andere.

Ich habe die Fälle einmal nach Relevanz für IT Unternehmen strukturiert.

1.) Vermeidbarer Verlust der Kontrolle von personenbezogenen Daten

18. Mai 2022 LG Köln :

Vgl. LG München 9.12.2921 31 16606/20

Schadenshöhe EUR 1.200 Das LG Köln I hat einem anderen Kläger bzgl. desselben Datenvorfalls EUR 2.500 Schadensersatz zugesprochen).
Sachverhalt Datenabfluss aufgrund eines Datenlecks, u.a. von Konto- und Ausweisdaten, bei einem Finanzdienstleistungsunternehmen (Scalable Capital).
DSGVO Verstoß Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung), da keine ausreichenden organisatorischen Maßnahmen nach Beendigung des Vertragsverhältnisses  vorgenommen worden seien, um den Datenabfluss zu verhindern.

Der Fall ist für IT Unternehmen wirklich relevant. Es handelt sich um den Anspruch eines Endkunden, weil seine personenbezogenen Daten infolge eines Hackerangriffs im Internet frei verfügbar sind. Der Endkunde hatte ein Vertragsverhältnis mit einem Finanzdienstleister und dieser Finanzdienstleister hatte das IT Unternehmen mit der Verarbeitung der personenbezogenen Daten des Endkunden beauftragt.

Die personenbezogenen Daten des Klägers wurden auch Jahre nach der Beendigung des Vertragsverhältnisses zwischen dem Finanzdienstleister und dem IT Unternehmen nicht gelöscht. Dann kam es infolge eines Hackerangriffs zu einem Datenleck. Die personenbezogenen Daten der Endkunden (Finanzen und Legitimation) wurden erbeutet.

Der Endkunde macht einen Kontrollverlust seiner personenbezogenen Daten geltend. Es handele sich um personenbezogene Daten, die er bei der Legitimation von Online Geschäften ständig verwendet habe und er habe ständig das Gefühl, er könne Opfer eines Betrugs werden. Es sei zwar nichts geschehen, aber er fühle sich psychisch belastet.

Das Gericht gab ihm Recht.

Was hier harmlos aussieht, ist ein potentieller Schadensfall in Millionenhöhe. Das Problem besteht für den Kunden nicht in der einen Person, die Schadensersatz gefordert hat. Der Hackerangriff betraf die die Daten von mehreren zehntausenden Kunden. Nun können mehrere zehntausend Kunden Schadensersatz gegen das IT Unternehmen geltend machen, weil sie sich unsicher fühlen (nicht etwa, weil etwas geschehen ist).

Das Gericht macht erstens (Juris, RN 30) geltend, dass die Beklagte keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hat, um das aus der Verarbeitung folgende Risiko zu verringern oder zu beseitigen, in dem sie die Daten nicht gelöscht habe; das halte ich für fragwürdig, weil die Befugnis über die Löschung bestimmen zu dürfen, bei der Auftraggeberin (also dem Finanzdienstleister) liegt. Zwischen den Parteien muss ein Vertrag nach Art 28 III DSGVO bestanden haben (Auftragsverarbeitungsvertrag) und dieser gibt die Befugnis dem Verantwortlichen.

Aber: Bei Beendigung des Vertrags mussten alle Daten gelöscht werden, jedenfalls geht das Gericht von diesem Umstand aus.

Obgleich die Herleitung des Gerichts richtig ist, kann man sich schon fragen, ob es nicht am Ziel vorbeigeht, einem Menschen einen Schadensersatzanspruch zuzugestehen, weil er eine psychische Beeinträchtigung erlitten habe. Ich möchte aber das Gericht in Schutz nehmen: Gerichte haben Gesetze anzuwenden und dienen weniger der Vernunft.

Zitat (Rn 32.)

Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 DSGVO. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist (LG München I a.a.O. Rn. 41 mit w.N.)

Wichtig ist, dass die Daten in fremde Hände gelangt sind. Darin unterscheidet sich der Fall von einem Fall, den das LG Essen 23.09.2021 entschieden hat.

Da ging es um einen per Post versendeten USB Stick, der verloren ging.

Ein immaterieller Schaden entsteht nicht bei jeder Verletzung des Datenschutzrechts. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Dazu genügt es nicht, wenn der Betroffene aufgrund eines vermeintlichen Verlusts eines USB-Sticks mit persönlichen Daten einen Kontrollverlust erlitten hat. Negative Auswirkungen eines behaupteten Verlustes – etwa in Form eines Identitätsdiebstahls oder ähnliches – müssen nur befürchtet werden, wenn der USB-Stick in die Hände eines Dritten gelangt ist.

Beratungshinweis:

Achten Sie peinlich darauf: Sofern Sie personenbezogene Daten des Auftraggebers verarbeiten, gehen Sie in ein Risiko. Personenbezogene Daten sollten wie Gift sofort aus dem Haus, wenn man sie nicht mehr braucht.

Deshalb muss in dem Vertrag zwischen dem Kunden und dem Auftragnehmer geregelt sein, dass der Auftragnehmer das Recht und die Pflicht hat, alle personenbezogenen Daten binnen kurzer Frist nach Beendigung des Vertragsverhältnisses zu löschen.

Und entsprechend muss in dem Vertrag auch stehen, dass der Kunde die Pflicht hat, alle Daten, die er noch speichern oder verwenden will, selbst zu speichern.

2.) Dynamische IP Adresse wird in die USA übermittelt.

20.Januar 2022 LG München ( 3 O 17493/20)

Ergebnis 100 Euro
Sachverhalt Übermittlung der dynamischen IP-Adresse an Google ohne Einwilligung des Betroffenen durch Einbettung der Schriftart Google Fonts auf der Homepage der Beklagten, die eine Verbindung zum Google-Server in den USA herstellte.
DSGVO Verstoß Verstoß gegen Art. 6 Abs. 1 lit. a) und lit. f) DSGVO.

Den Fall kennt aufgrund der aktuellen Abmahnungswellen zweier Menschen (einer NRW, einer Berlin) jeder und das ist eben auch der Kern der Kritik an dieser beinahe religiösen Überhöhung von Rechtspositionen, die die DSGVO ermöglicht.

Der Kläger stellte fest, dass seine personenbezogenen Daten durch Verwendung des Programms Google Fonts in die USA übermittelt werden (dazu der andere Blog); dies ohne seine Einwilligung. Das Gericht stellt rechtsfehlerfrei fest, dass dies einen Eingriff in das informationelle Selbstbestimmungsrecht darstelle, weil der Kläger dieser Übertragung nicht zugestimmt habe (Cookie Consent) und deshalb stünde ihm ein Schadensersatzanspruch zu.

In der Folge gibt es nun zwei Abmahnungswellen. Die Anwälte fordern jeweils Summen von 150 Euro für den psychischen Schaden, der entstanden sei, weil die Personenbezogenen Daten der Mandanten nun via google Fonts in die USA transportiert worden seien. Welchen Wert diese Informationen für irgendeinen US amerikanischen Geheimdienst haben sollen, wissen wir nicht. Die Mandanten, die uns gefragt haben, kommen aus dem Handel, aus der IT Branche. Die Anwaltsschreiben verweisen auf ein Dokument, dass den Besuch auf der betreffenden Website beweisen soll. Ein Kollege hat nachgewiesen, dass der Timestamp des Besuchs teilweise identisch ist, bedeutet dieselbe Person hat zeitgleich mehrere Websites besucht. Und nur wer keinen Schalk im Nacken hat wird daran denken, dass hier jemand Software geschrieben hat, die nach offenem Quelltext im Internet auf Websites sucht, der google Fonts ausfindig macht, das dann in die USA verweist. Denn was die beiden Herrschaften auf so vielen Internetseiten gleichzeitig gesucht haben, bleibt völlig unergründlich.

Die Wahrheit ist simpel: Die DSGVO unterfällt hier dem Spruch von Goethe. Sie ist der Geist, der Gutes will und die Möglichkeit zum Rechtsmissbrauch erst schafft.

3.) 14.Juli 2022 OLG Köln:

Zum Abschluss noch etwas zum Schmunzeln.

Der Fall betraf einen Anwalt, der seiner ehemaligen Mandantin zu spät über den Umfang der personenbezogenen Daten gab. Die Mandantin hatte sich über die schleppende Bearbeitung eines Mandates im Verkehrsrecht geärgert. Ich halte den Weg über die DSGVO für eine Zweckentfremdung und das Urteil für falsch. Hier wird der Schadensersatz für die verspätete Auskunftserteilung zu einem Vehikel für ein Schmerzensgeld.

Ergebnis 500 Euro  
Sachverhalt Acht Monate verspätet erteilte Auskunft eines Anwalts an eine ehemalige Mandantin nach Art. 15 DSGVO.
DSGVO Verstoß Verstoß gegen Art. 15 DSGVO.
Schadensersatz Die Klägerin empfand Stress und Sorge hinsichtlich der Bearbeitung des Mandats.
Verantwortlichkeit