Nicht jeder Schadensersatzanspruch ist gerechtfertigt
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Dies gilt aber nicht immer bei Bagatellschäden.
Sachverhalt
Eine Kundin führte seit Jahren unter anderem ein Girokonto bei einer Bank. Am 18.12.2019 erhielt sie einen Brief einer Rechtsanwaltskanzlei, in dem sich Duplikate ihrer Kontoauszüge befanden. Es handelte sich um sechs Blätter, die einen Eingangsstempel der Rechtsanwaltskanzlei aufwiesen und Kontobewegungen sowie ein Deckblatt umfassten. Die Bank hatte diese zuvor versehentlich postalisch an den Rechtsanwalt übersandt, der Jahre zuvor Betreuer der Mutter der Klägerin gewesen war. Nach dem Tod der Mutter im wurde deren Konto auf die besagte Kundin umgeschrieben, die Versandanschrift jedoch im System der Bank nicht gelöscht.
Nach Erhalt der Kontoauszüge rief die Betroffene unmittelbar bei der Bank an, deren Datenschutzbeauftragter sie am gleichen Tag zurückrief. Daraufhin wurde der Betroffenen eine E-Mail übersandt, um sie über den Sachverhalt weiter zu informieren. Die entsprechende E-Mail wurde von der Betroffenen nicht abgerufen.
Mit anwaltlichen Schreiben forderte die Kundin die Bank zur Abgabe einer strafbewehrten Unterlassungsverpflichtungserklärung, Zahlung eines Schmerzensgeldes von 25.000 € und datenschutzrechtlicher Auskunft auf. Die datenschutzrechtliche Auskunft wurde ihr von der Bank erteilt, die übrigen Ansprüche wies die Bank zurück.
Daraufhin erhob die Betroffene Klage beim Landgericht Köln und trug vor, dass der Rechtsanwalt, der die Kontoauszüger erhalten habe, für sie mit einer sehr belastenden Erbstreitigkeit im Jahr 2015 über das Vermögen ihres verstorbenen Vaters verbunden sei, wobei dieser damals die Gegenseite vertreten habe. Nach Erhalt des Briefes mit den Kontoauszügen habe sie sich sofort an die zurückliegende, für sie schreckliche Zeit erinnert, was für sie zutiefst verletzend und traurig gewesen sei. Es sei unerträglich für sie, dass ausgerechnet dieser Rechtsanwalt detaillierte Informationen über ihren Kontostand erhalten habe. Diese Trauer und Verletztheit würden bei ihr bis heute anhalten. Sie bekomme bei dem Thema Herzrasen, werde nervös und fange an zu zittern und zu weinen. Zudem habe sie das Verhalten der Beklagten und deren Reaktion als unerträglich und verletzend empfunden. Die Weitergabe von Bankdaten stelle eine grobe Verletzung aus dem Girovertrag und einen schweren Verstoß gegen die DSGVO dar. Ihr stehe ein immaterieller Schadensersatzanspruch gemäß Art. 82 DSGVO zu, da eine verbotene Offenlegung von personenbezogenen Daten erfolgt sei, die für ihren Schaden kausal sei. Der Verstoß sei schwerwiegend, weshalb ihr ein Schmerzensgeld von mindestens 25.000 € zustehe.
Auszüge aus dem Urteil
Das Landgericht Köln hat die Klage als unbegründet abgewiesen. Die Klägerin habe gegen die Beklagte keinen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO.
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Für den immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze, die Ermittlung obliegt dem Gericht nach § 287 ZPO. Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, bspw. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren.
Nach Maßgabe dieser Grundsätze ergibt die vorzunehmende Gesamtwürdigung hier, dass ein Schadensersatzanspruch der Klägerin nicht besteht.
Unabhängig davon, dass es – wie von der Beklagten zu Recht bemängelt – an einer substantiierten Darlegung eines immateriellen Schadens fehlt, handelt es sich vorliegend bei dem Datenschutzverstoß nach Art, Schwere, Dauer und Umfang des Verstoßes um einen Bagatellfall, der auch unter Berücksichtigung der weiteren Umstände des Einzelfalls die Zuerkennung eines Schmerzensgeldes nicht rechtfertigen kann. Es erfolgte eine einmalige und erstmalige Übersendung eines wenige Blätter umfassenden Kontoauszugs an einen falschen Empfänger. Anzumerken ist, dass durch die Klägerin im Übrigen bereits nicht dargelegt wurde, dass der Rechtsanwalt überhaupt Kenntnis vom Inhalt des Schreibens genommen hat, insoweit sprechen vielmehr der entsprechende Eingangsstempel der Kanzlei und das Durchstreichen des Adressfelds wesentlich dagegen. Jedenfalls erfolgte auch nach dem Vortrag der Klägerin keine Weitergabe der Kontoauszüge an weitere Personen, sondern unmittelbar ein Weiterversand an die Klägerin. Grundlage der Fehlversendung war eine versehentliche Falscherfassung im System der Beklagten, die unmittelbar nach Kenntnisnahme korrigiert wurde. Das Zuerkennen von Schmerzensgeld in derartigen Bagatellfällen würde die Gefahr einer nahezu uferlosen Häufung der Geltendmachung von Ansprüchen bergen, was nicht Sinn und Zweck von Art. 82 DSGVO entsprechen kann. Die Kammer übersieht bei ihrer Gesamtwürdigung unter Berücksichtigung der Kriterien des Art. 83 Abs. 2 DSGVO nicht, dass die Klägerin den vorliegenden Vorgang als subjektiv sehr belastend empfinden mag, hält aber dennoch insgesamt das Zusprechen eines Schmerzensgeldes für nicht vertretbar.
Sonstige Anspruchsgrundlagen sind nicht ersichtlich.
Fundstelle: Urteil des Landgerichts Köln vom 07.10.2020, Az: 28 O 71/20 – abrufbar im Internet beispielsweise unter http://www.justiz.nrw.de/nrwe/lgs/koeln/lg_koeln/j2020/28_O_71_20_Urteil_20201007.html