KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden
Das Kammergericht Berlin (KG Berlin) bestätigt mit Urteil vom 22.11.2023 in einem durch uns geführten Verfahren unter anderem erneut, dass betroffene Personen etwaige erlittene immaterielle Schäden nach Art. 82 DSGVO in konkret-individueller Weise darlegen müssen. Das Gericht hat damit die Abweisung der Klage gegen unsere Mandantin in der erstinstanzlichen Entscheidung des Landgerichts (LG Berlin) bestätigt. Geklagt hatte ein Legal Tech-Unternehmen, dessen Geschäftsmodell darin besteht, Verbrauchern ihre vermeintlich bestehenden datenschutzrechtlichen Ansprüche „abzukaufen“ und diese anschließend (gerichtlich) zu Geld zu machen. Im vorliegenden Fall verlangte das Legal Tech im Namen der von einem vermeintlichen Hackerangriff Betroffenen Auskunft (Art. 15 DSGVO) und machte aus abgetretenem Recht Schadensersatz gem. Art. 82 DSGVO geltend.
Auskunftsanspruch umfasst nicht von Hackerangriff betroffene Daten
Das KG Berlin schloss sich in der Berufungsinstanz der Begründung durch das erstinstanzliche Urteil des LG Berlin an. Das Landgericht hatte in seinem Urteil (Urt. v. 24.03.2023, Az. 38 O 221/22) insbesondere ausgeführt, dass Art. 15 DSGVO nicht ohne Weiteres solche Auskunftsverlangen umfasse, die sich auf die konkret betroffenen Daten eines Datenlecks beziehen, bei dem unautorisierte Dritte auf ebendiese Daten zugreifen. Dies sei etwa im Falle eines Hackerangriffs der Fall. Als Begründung wurde hierzu ausgeführt, dass etwaige im Rahmen eines Hackerangriffs abgegriffene Daten gerade nicht bei der Beklagten als Verantwortliche verarbeitet werden. Es gehe insofern „[…] um die Frage nach einer sich auch für die Beklagte als aufgezwungen darstellende Abschöpfung von Daten durch einen Dritten“. Auch wenn die Beklagte Ermittlungen zu den im Rahmen eines Angriffs abgeschöpften Daten angestellt haben mag, liege darin gerade keine Verarbeitung der Daten durch die Beklagte.
Auskunft nach Art. 15 DSGVO muss direkt an Betroffene verlangt werden
Das Kammergericht betont zudem, dass der Anspruch aus Art. 15 DSGVO nicht abtretbar sei; es müsse im Klageantrag stets eindeutig (direkt) Auskunft an die betroffene Person verlangt werden. Das kann so verstanden werden, dass etwa Legal Tech-Unternehmen, die Ansprüche bündeln und gegenüber Verantwortlichen geltend machen, Auskunft nach Art. 15 DSGVO lediglich direkt an die betroffene Person verlangen dürfen, nicht allerdings an sich selbst.
Auch macht das Kammergericht in Zustimmung mit der vorinstanzlichen Entscheidung des Landgerichts Berlin nochmals deutlich, dass der allgemeine Auskunftsanspruch nach § 242 BGB bei Anwendbarkeit der spezielleren Vorschriften der Art. 32 ff. DSGVO gesperrt sei.
Das könnte Sie auch interessieren:
- Unser Fokus: DSGVO und Schadensersatz
- BGH stellt EuGH bedeutende Fragen zum Unterlassungsanspruch und immateriellem Schadensersatz nach DSGVO
- EuGH-Urteil: Klarheit bei DSGVO-Schadensersatzansprüchen – Bedeutung und Auswirkungen für die Praxis
- Schadensersatz nach der DSGVO: die wichtigsten Fragen und Antworten
Konkreter Schaden im Rahmen von Art. 82 DSGVO notwendig
Zuletzt führt das KG Berlin aus, dass einem durch die Klägerin geltend gemachten Schadensersatzanspruch aus Art. 82 DSGVO der fehlende Vortrag in konkret-individueller Weise von Missbrauchsversuchen aufgrund der Datenabschöpfung betroffen zu sein – oder allein durch die Veröffentlichung der abgeschöpften Daten betroffen zu sein – entgegenstehe. Art. 82 DSGVO erfordere zwar gerade keine Erheblichkeitsschwelle; gleichwohl müssten Betroffene aber individuell die für sie negativen Folgen eines DSGVO-Verstoßes nachweisen. Es bedürfe der Darlegung eines konkreten und tatsächlichen immateriellen Schadens, der über einen ohnehin eingetretenen Kontrollverlust hinausgeht.
Fazit
Das Kammergericht Berlin macht in seinem jüngsten Urteil einmal mehr deutlich, dass zur Begründung eines Schadens i.S.v. Art. 82 DSGVO mehr vorgetragen werden muss als bloße Floskeln. Betroffene müssen konkrete und fundierte Angaben zum Schaden machen, anstatt nur allgemeine Aussagen zu treffen. Genau das fällt Legal Techs, die Ansprüche massenweise geltend machen, naturgemäß schwer. Aus wirtschaftlichen Gründen können die Begründungen meist nur an der Oberfläche kratzen. Für alles weitere lohnt der Aufwand nicht. Diesen pauschalen Darlegungsversuchen erteilt das Kammergericht eine Abfuhr. Das Urteil fügt sich damit in die Tendenz der aktuellen Rechtsprechung, welche das skizzierte Geschäftsmodell noch zum Einsturz bringen könnte, bevor es richtig losgeht.
Abzuwarten bleibt in diesem Kontext das Anfang Dezember erwartete Urteil des Gerichtshofs der Europäischen Union (EuGH) zur Frage, ob Sorgen und Befürchtungen des künftigen Missbrauchs von personenbezogenen Daten als immaterieller Schaden von Betroffenen im Rahmen des Art. 82 DSGVO gewertet werden können. Der Generalanwalt Giovanni Pitruzzella machte in seinen Schlussanträgen deutlich, dass dies grundsätzlich im Rahmen von Art. 82 DSGVO der Fall sein könne. Voraussetzung dafür sei aber, dass es sich um einen realen und sicheren emotionalen Schaden handele; ein bloßes Gefühl des Unwohlseins über den aufgetretenen Datenschutzverstoßes reiche nicht aus. Die Rechtslage im Kontext des Art. 82 DSGVO bleibt also weiterhin in Bewegung und sollte durch Unternehmen und Einrichtungen beobachtet werden.
Wir helfen Ihnen dabei, sich im Falle der Inanspruchnahme optimal zu verteidigen.