KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Das Kammergericht Berlin (KG Berlin) bestätigt mit Urteil vom 22.11.2023 in einem durch uns geführten Verfahren unter anderem erneut, dass betroffene Personen etwaige erlittene immaterielle Schäden nach Art. 82 DSGVO in konkret-individueller Weise darlegen müssen. Das Gericht hat damit die Abweisung der Klage gegen unsere Mandantin in der erstinstanzlichen Entscheidung des Landgerichts (LG Berlin) bestätigt. Geklagt hatte ein Legal Tech-Unternehmen, dessen Geschäftsmodell darin besteht, Verbrauchern ihre vermeintlich bestehenden datenschutzrechtlichen Ansprüche „abzukaufen“ und diese anschließend (gerichtlich) zu Geld zu machen. Im vorliegenden Fall verlangte das Legal Tech im Namen der von einem vermeintlichen Hackerangriff Betroffenen Auskunft (Art. 15 DSGVO) und machte aus abgetretenem Recht Schadensersatz gem. Art. 82 DSGVO geltend.

Auskunftsanspruch umfasst nicht von Hackerangriff betroffene Daten

Das KG Berlin schloss sich in der Berufungsinstanz der Begründung durch das erstinstanzliche Urteil des LG Berlin an. Das Landgericht hatte in seinem Urteil (Urt. v. 24.03.2023, Az. 38 O 221/22) insbesondere ausgeführt, dass Art. 15 DSGVO nicht ohne Weiteres solche Auskunftsverlangen umfasse, die sich auf die konkret betroffenen Daten eines Datenlecks beziehen, bei dem unautorisierte Dritte auf ebendiese Daten zugreifen. Dies sei etwa im Falle eines Hackerangriffs der Fall. Als Begründung wurde hierzu ausgeführt, dass etwaige im Rahmen eines Hackerangriffs abgegriffene Daten gerade nicht bei der Beklagten als Verantwortliche verarbeitet werden. Es gehe insofern „[…] um die Frage nach einer sich auch für die Beklagte als aufgezwungen darstellende Abschöpfung von Daten durch einen Dritten“. Auch wenn die Beklagte Ermittlungen zu den im Rahmen eines Angriffs abgeschöpften Daten angestellt haben mag, liege darin gerade keine Verarbeitung der Daten durch die Beklagte.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Auskunft nach Art. 15 DSGVO muss direkt an Betroffene verlangt werden

Das Kammergericht betont zudem, dass der Anspruch aus Art. 15 DSGVO nicht abtretbar sei; es müsse im Klageantrag stets eindeutig (direkt) Auskunft an die betroffene Person verlangt werden. Das kann so verstanden werden, dass etwa Legal Tech-Unternehmen, die Ansprüche bündeln und gegenüber Verantwortlichen geltend machen, Auskunft nach Art. 15 DSGVO lediglich direkt an die betroffene Person verlangen dürfen, nicht allerdings an sich selbst.

Auch macht das Kammergericht in Zustimmung mit der vorinstanzlichen Entscheidung des Landgerichts Berlin nochmals deutlich, dass der allgemeine Auskunftsanspruch nach § 242 BGB bei Anwendbarkeit der spezielleren Vorschriften der Art. 32 ff. DSGVO gesperrt sei.


Das könnte Sie auch interessieren:


Konkreter Schaden im Rahmen von Art. 82 DSGVO notwendig

Zuletzt führt das KG Berlin aus, dass einem durch die Klägerin geltend gemachten Schadensersatzanspruch aus Art. 82 DSGVO der fehlende Vortrag in konkret-individueller Weise von Missbrauchsversuchen aufgrund der Datenabschöpfung betroffen zu sein – oder allein durch die Veröffentlichung der abgeschöpften Daten betroffen zu sein – entgegenstehe. Art. 82 DSGVO erfordere zwar gerade keine Erheblichkeitsschwelle; gleichwohl müssten Betroffene aber individuell die für sie negativen Folgen eines DSGVO-Verstoßes nachweisen. Es bedürfe der Darlegung eines konkreten und tatsächlichen immateriellen Schadens, der über einen ohnehin eingetretenen Kontrollverlust hinausgeht.

Fazit

Das Kammergericht Berlin macht in seinem jüngsten Urteil einmal mehr deutlich, dass zur Begründung eines Schadens i.S.v. Art. 82 DSGVO mehr vorgetragen werden muss als bloße Floskeln. Betroffene müssen konkrete und fundierte Angaben zum Schaden machen, anstatt nur allgemeine Aussagen zu treffen. Genau das fällt Legal Techs, die Ansprüche massenweise geltend machen, naturgemäß schwer. Aus wirtschaftlichen Gründen können die Begründungen meist nur an der Oberfläche kratzen. Für alles weitere lohnt der Aufwand nicht. Diesen pauschalen Darlegungsversuchen erteilt das Kammergericht eine Abfuhr. Das Urteil fügt sich damit in die Tendenz der aktuellen Rechtsprechung, welche das skizzierte Geschäftsmodell noch zum Einsturz bringen könnte, bevor es richtig losgeht.

Abzuwarten bleibt in diesem Kontext das Anfang Dezember erwartete Urteil des Gerichtshofs der Europäischen Union (EuGH) zur Frage, ob Sorgen und Befürchtungen des künftigen Missbrauchs von personenbezogenen Daten als immaterieller Schaden von Betroffenen im Rahmen des Art. 82 DSGVO gewertet werden können. Der Generalanwalt Giovanni Pitruzzella machte in seinen Schlussanträgen deutlich, dass dies grundsätzlich im Rahmen von Art. 82 DSGVO der Fall sein könne. Voraussetzung dafür sei aber, dass es sich um einen realen und sicheren emotionalen Schaden handele; ein bloßes Gefühl des Unwohlseins über den aufgetretenen Datenschutzverstoßes reiche nicht aus. Die Rechtslage im Kontext des Art. 82 DSGVO bleibt also weiterhin in Bewegung und sollte durch Unternehmen und Einrichtungen beobachtet werden.

Wir helfen Ihnen dabei, sich im Falle der Inanspruchnahme optimal zu verteidigen.

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.