Vermehrt verurteilen die Gerichte zu deutlichen Schadensersatzsummen bei Datenschutzverstößen. Ein Kläger bekam im Herbst 2022 vom LG Köln Schadensersatz dafür zugesprochen, dass ein Audi-Händler seine Daten unbefugt weitergab.
Wie(so) kann man Tausende von Euro für einen Verstoß verlangen?
Der Kläger hatte privat einen Audi bei dem Händler gekauft und den Kaufpreis über die Audi Bank finanziert. Der Audi Bank fehlte noch ein Nachweis über die angegebene Nebeneinkünfte in Höhe von 2.000,– €. Als der Verkaufsberater den Kläger dazu nicht erreichte, schrieb er dem – ihm bekannten – Vorgesetzten des Klägers eine Mail. Er schilderte ihm die Situation und bat ihn, mit dem Mitarbeiter ein „klärendes Gespräch“ zu führen, um diesen zur Vorlage des Nachweises zu bewegen. Besonders pikant: Der Kläger war ebenfalls Autoverkäufer – aber bei einem Mitbewerber. Der Vorgesetzte lud den Kläger daraufhin auch tatsächlich zum Gespräch ein, was dem Kläger unangenehm war und ihn zur Klage bewegte.
Darf ein Verkäufer (meine) Daten einfach weitergeben?
Händler dürfen Daten ihrer Kunden nicht grundlos weitergeben. Das LG Köln betonte, dass das Versenden von E-Mails unter Bezug auf die Vertragsbeziehung eine Datenverarbeitung darstellt.
Zulässig ist eine Datenverarbeitung nur, wenn der Kunde eingewilligt hat oder ein anderer Rechtfertigungsgrund für die Verarbeitung vorliegt. Eine Datenverarbeitung ist nach Art. 6 I lit. b) DSGVO dann rechtmäßig, wenn sie zur Erfüllung des Vertrages erforderlich ist. Dies ist der Fall, wenn ein unmittelbarer Zusammenhang zwischen der Datenverarbeitung und dem konkreten Zweck des Vertragsverhältnisses besteht.
Eine Einwilligung hatte der Kläger nicht erteilt. Im vorliegenden Falle hat das LG Köln ferner die Erforderlichkeit verneint. Es sei nicht im Ansatz ersichtlich, dass der Vorgesetzte des Klägers etwas mit dem Vertrag zu tun habe. Im Gegenteil wäre der Kläger wegen seiner Anstellung bei der Konkurrenz schützenswert gewesen („Geheimhaltungsinteresse“). Die Offenbarung des Kaufes beim Mitbewerber sei eine vorsätzliche „Bloßstellung“, mit starken Schamgefühlen verbunden, und hätte den Kläger zur Rechtfertigung genötigt.
Was müssen Sie für Schadensersatz vor Gericht vorbringen?
Das LG Köln hielt die ausgeurteilte Summe in Höhe von 4.000,– € für angemessen. Das Verhalten des Verkäufers wurde dabei dem Händler zugerechnet. Es wäre auch eine noch höherer Schadensersatzsumme denkbar gewesen. Hierfür hätte der Kläger einen Ursachenzusammenhang zwischen der rechtswidrigen Datenverarbeitung und einer behaupteten psychischen Erkrankung beweisen müssen. Dem Kläger ist dieser Beweis jedoch nicht gelungen.
Welcher Schadensersatzbetrag ist denkbar?
Vorliegend verlangte der Kläger 100.000 €. Er argumentierte, dass die beklagte Partei Teil des VW-Konzerns sei und sich der Schadensersatz daher an der Höhe möglicher Geldbußen (von Aufsichtsbehörden) gem. Art. 83 DSGVO orientieren müsse.
Das Gericht lehnte einen Schadensersatzbetrag in dieser Höhe ab, weil er einem „Strafschadensersatz“ gleich komme. Ein solcher Strafschadensersatz sei in der DSGVO allerdings nicht vorgesehen. Zudem sei nicht der Konzern selbst verklagt worden, so dass die klägerische Argumentation auch aus diesem Grund nicht greife.
Hohe Klageforderungen sollten daher gut überlegt und recherchiert werden. Dies schaffen Sie nur mit anwaltlicher Hilfe. Wird nur ein geringer Teil einer hohen Klageforderung zugesprochen, müssen Sie regelmäßig die Verfahrenskosten anteilig übernehmen. Der Kläger beim LG Köln dürfte hier deshalb den Großteil der Verfahrenskosten tragen. Von den 4.000,‑‑ € könnte wenig übrig geblieben sein.
Wie sollte ich mich als Betroffener oder „Verantwortlicher“ bei Verletzungen des Datenschutzrechts verhalten?
– Auf Seite eines Betroffenen:
Dokumentieren Sie die Vorgänge und suchen Sie sich schnellstmöglich fachkundige anwaltliche Beratung. Neben dem Verlust der Durchsetzbarkeit von Ansprüchen (Verjährung) können durch eigene Handlungen oder nicht fachkundige Beratung durchaus Kostenfallen drohen oder Beweisprobleme im Prozess entstehen.
– Auf Seite des Verantwortlichen:
Als Verantwortlicher müssen Sie in allen Bereichen „DSGVO-konform“ sein. Sie unterliegen dem Rechtfertigungszwang. Im Zweifel sollte die Datenverarbeitung unterbleiben. Sie sollten sich idealerweise dauerhaft fachkundig beraten lassen. Vielleicht müssen Sie sogar einen Datenschutzbeauftragten bestellen.
Letztlich sollten Sie sich in beiden Fällen unbedingt anwaltlich begleiten lassen. Wir schätzen die entsprechenden Sachverhalte für Sie fachkundig ein und empfehlen Ihnen die richtigen Schritte.
Quelle: LG Köln, Urteil vom 28.09.2022, Az. 28 O 21/22
GoldbergUllrich Rechtsanwälte 2023
Julius Oberste-Dommes und Benno Gerwinn
