Kein Schadenersatz bei der einmaligen falschen Zusendung eines Kontoauszuges
Das LG Köln hat den Anspruch auf Schadenersatz gem. Art 82 DSGVO bei einer einmaligen Zusendung eines Kontoauszuges an einen unberechtigten Empfänger abgelehnt. (Urteil LG Köln, 7.10.2020, 28 O 71/20)
Der Sachverhalt
Am 18.12.2019 erhielt eine Bankkundin einen Brief einer Rechtsanwaltskanzlei in dem sich Duplikate ihrer Kontoauszüge vom 02.12.2019 befanden. Es waren sechs Blätter, die den Eingangsstempel der Rechtsanwaltskanzlei U vom 03.12.2019 aufwiesen. Die Kontoauszüge umfassten die Kontobewegungen vom 14.10.2019 bis 29.11.2019 sowie ein Deckblatt.
Die Bank hatte diese Postsendung versehentlich falsch adressiert und an den Rechtsanwalt, der im Jahr 2014 Betreuer der Mutter der Bankkundin gewesen war. Nach dem Tod der Mutter im Jahr 2015 wurde deren Konto auf die Tochter (Bankkundin, Anspruchstellerin) umgeschrieben. Die alte Versandanschrift wurde im System nicht gelöscht.
Die Bankkundin verlangte EUR 25.000,-- an immateriellem Schadenersatz von der Bank.
Zum entstandenen Schaden brachte die Bankkundin vor, dass sie den Empfänger der Kontoauszüge aus einer für sie mit einer sehr belastenden Erbstreitigkeit im Jahr 2015 über das Vermögen ihres verstorbenen Vaters kennt. Nach Erhalt des Briefes am 18.12.2019 hat sie sich sofort an die zurückliegende, für sie schreckliche Zeit erinnert, was für sie zutiefst verletzend und traurig gewesen sei. Es sei unerträglich für sie, dass ausgerechnet Rechtsanwalt T detaillierte Informationen über ihren Kontostand erhalten hat. Sie bekomme bei dem Thema Herzrasen, werde nervös und fange an zu zittern und zu weinen.
Auch das Verhalten der Bank sei unerträglich gewesen.
Die beklagte Bank verwies darauf, dass kein Schaden entstanden sei, und eine schwere Persönlichkeitsverletzung nicht ersichtlich ist. Ein „kurze emotionale Aufgewühltheit“ reicht nicht aus, um einen Schaden darzustellen.
Die Entscheidung:
Die Bemessung des Schadens
Das Gericht kommt zum Schluss, dass für die Bemessung eines erlittenen Schadens die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden können, bspw. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten. Dies ist mE bemerkenswert, da Art 83 DSGVO die „Geldbußen/Geldstrafen“ regelt und nicht den Schadenersatzanspruch (Art 82 DSGVO).
„Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31).“
Schwere des Verstoßes – maßgebend?
Das Gericht geht in seiner Beurteilung davon aus, dass der Verstoß gegen die datenschutzrechtlichen Normen einen „Bagatellverstoß“ darstellt, da es nur zu einer einmalige Falschadressierung der Zusendung gekommen ist, und auch nicht klar war, ob der (unberechtigte) Empfänger die personenbezogenen Daten überhaupt zur Kenntnis genommen hat. Die personenbezogenen Daten sind auch unmittelbar an die betroffene Person weitergeleitet worden.
„Das Zuerkennen von Schmerzensgeld in derartigen Bagatellfällen würde die Gefahr einer nahezu uferlosen Häufung der Geltendmachung von Ansprüchen bergen, was nicht Sinn und Zweck von Art. 82 DSGVO entsprechen kann. Die Kammer übersieht bei ihrer Gesamtwürdigung unter Berücksichtigung der Kriterien des Art. 83 Abs. 2 DSGVO nicht, dass die Klägerin den vorliegenden Vorgang als subjektiv sehr belastend empfinden mag, hält aber dennoch insgesamt das Zusprechen eines Schmerzensgeldes für nicht vertretbar.“
Fazit
In Deutschland bestehen mE unterschiedliche Ansichten bezüglich der „Sanktionen“, die es bei Verstößen gegen die DSGVO geben soll. Das Gericht verweist einerseits darauf, dass ein Bagatellverstoß einen Schadenersatzanspruch begründen kann, hält diesen am im konkreten Fall nicht für vertretbar.
Die Beurteilung des Gerichtes mag in der Konsequenz richtig sein, dennoch ist mE eine Differenzierung bei den Sanktionen angebracht.
Die Bewertungskriterien des Art 83 Abs 2 DSGVO sind für die „öffentlich-rechtliche“ Sanktion der Geldbuße / Geldstrafe gedacht.
Eine Bemessung des „erlittenen Schadens“, der durch eine Verletzungshandlung verursacht wird, ist mE nicht von Kriterien abhängig, die sich in der Sphäre des Schädigers finden, sondern es geht um einen angemessenen Ersatz für einen Schaden, den die geschädigte Person in der eigenen Sphäre erlitten hat. Die Auswirkungen einer rechtsverletzenden Handlung, somit die Konsequenzen des Tuns oder des Unterlassens auf Seiten der schädigenden Person, nicht die (Art, Schwere, Dauer etc ... der) Handlung an sich, sind die Kriterien, die für die Ermittlung eines Schadens maßgebend sind. Ein Schaden wird „erlitten“, dh ereignet sich in der Sphäre der geschädigten Person, nicht aber in der Sphäre der schädigenden Person.
Eine bei einem Verkehrsunfall verletzte Person erhält für den erlittenen (Personen-)Schaden Ersatz, der unabhängig davon ist, ob die schädigende Person einem teuren Sportwagen, einen Mittelklassewagen oder ein Fahrrad fuhr.
Eine „Bagatellschwelle“ oder „Erheblichkeitsschwelle“ bei Datenschutzverletzungen einzuziehen, und nicht für jede Verletzung auch (immateriellen) Schadenersatz zuzusprechen erachte ich für (rechtspolitisch) geboten, da mit jeder Rechtsverletzung für die davon betroffene Person, mag diese auch nicht geschädigt sein, eine negative Situation, uU auch eine Beeinträchtigung in der Gefühlswelt, verbunden ist.
Üblicher mit einer Verletzungshandlung verbundene Ärger, ein gewisses Umutsgefühl oder „Ungemach“ stellt mE (noch) keinen ersatzfähigen Schaden dar.
15.11.2020, Autor:
Michael Schweiger, zert. DSBA
Kommentar schreiben