DSGVO: Schadensersatz bei jedem Verstoß?

dsgvo schadensersatz

DSGVO: Schadensersatz nach jedem Verstoß?

Am 18.09.20 hatte das LG Frankfurt darüber zu entscheiden, ob dem Kläger ein Anspruch auf Schadensersatz nach Verstößen gegen die DSGVO zustand.

Die Beklagte ist eine Tochtergesellschaft von Mastercard International und bat 2017 im Rahmen eines Werbeprogramms seinen Kunden an, bei jedem Bezahlvorgang mit einer Mastercard Treuepunkte zu sammeln. Um an dieser Aktion teilzunehmen mussten die Kunden persönliche Daten wie Namen, E-Mailadresse und ihre Kartennummer angeben. Zur Umsetzung des Programms beauftragte das Unternehmen die Brain Behind (BB) Gesellschaft, von der alle für die Aktion relevanten Daten gespeichert und verarbeitet werden sollten.

Zur Einhaltung der datenschutzrechtlichen Anforderungen der DSGVO verpflichtete die Tochtergesellschaft von Mastercard die BB sich an strenge Datenschutzstandards zu halten. Nichtsdestotrotz erfolgt 2 Jahre später ein unautorisierter Zugriff auf die Systeme der BB bei dem unter anderem die Namen, Mailadressen und Kartennummern von etwa 90.000 Mastercard-Kunden im Internet öffentlich zugänglich gemacht wurden. Die dazugehörigen Sicherheitscodes und Ablaufdaten der Karten waren nicht betroffen. Im Zuge dieser Datenpanne forderte der Kläger, der auch zu den betroffenen Kunden zählte, Schadensersatz in Höhe von insgesamt über 8.000 € für die Verstöße gegen die DSGVO und die Veröffentlichung seiner Daten.

Das Urteil

Das Gericht wies die Klage jedoch ab, da dem Kläger kein Schadensersatzanspruch nach Art. 82 I DSGVO zustehe. Art. 82 I DSGVO erfordere nämlich einen Verstoß gegen datenschutzrechtliche Vorschriften. Ein solcher konnte im Fall der Tochtergesellschaft allerdings nicht festgestellt werden. Nach Ansicht des Gerichts habe das Unternehmen ausreichende technische und organisatorische Maßnahmen getroffen, um ein hohes Schutzniveau zu schaffen.

Unabhängig davon habe der Kläger schon gar keinen Schaden erlitten, der ihm im Rahmen eines Schadensersatzanspruchs überhaupt hätte ersetzt werden können. Diesbezüglich betonte das Gericht, dass nicht jeder Verstoß gegen die DSGVO automatisch einen ersatzfähigen Schaden darstelle. Maßgeblich sei vielmehr, dass eine konkrete Verletzung von Persönlichkeitsrechten des Betroffenen vorliege. Anhand des Vortrags des Klägers könne eine derartige Beeinträchtigung jedoch ebenfalls nicht festgestellt werden.  

Ausblick

Das Urteil verdeutlicht die Anforderungen an einen Schadensersatzanspruch nach Art. 82 I DSGVO und dessen Grenzen. Dabei folgt das LG Frankfurt einer engen Auslegung des Schadensbegriffs und begründet dies damit, dass die deutsche Rechtsordnung grundsätzlich keinen Schadensersatz mit strafender Wirkung vorsehe. Dadurch wendet es sich von der weiteren Auslegung ab. Diese stand vielfach aufgrund ihrer Missbrauchsmöglichkeiten in der Kritik, da bereits durch jeden Verstoß gegen die DSGVO ein Schadensersatz fällig würde.

Bildrechte: Noppadolsign /Shutterstock.com