Anforderungen an immateriellen Schadensersatz nach der DSGVO

Neues Urteil zu Auskunftsansprüchen und Schadensersatz nach DSGVO

Das Landgericht Köln hat in seinem Urteil vom 19.04.2024 (Az. 12 S 4/23) eine weitere Entscheidung zu Auskunftsansprüchen und Schadensersatz nach der Datenschutz-Grundverordnung (DSGVO) getroffen.

Im konkreten Fall wurde die Berufung des Klägers gegen ein erstinstanzliches Urteil zurückgewiesen. Das Gericht bestätigte, dass Auskunftsansprüche nach Art. 15 DSGVO nicht wegen "datenschutzfremder" Zwecke abgelehnt werden können. Allerdings waren die Ansprüche im vorliegenden Fall bereits durch umfassende Auskünfte der Beklagten erfüllt.

Besonders relevant sind die Ausführungen zum immateriellen Schadensersatz nach Art. 82 DSGVO. Das Gericht stellt unter Bezugnahme auf die EuGH-Rechtsprechung (Urteil vom 04.05.2023, C-300/21) klar:

1. Ein bloßer Verstoß gegen die DSGVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen.
2. Der Kläger muss einen tatsächlichen immateriellen Schaden darlegen und nachweisen.
3. Dieser Schaden muss über die Folgen hinausgehen, die mit jedem einfachen DSGVO-Verstoß verbunden sind.
4. Ein längeres Zuwarten auf eine Auskunft oder ein abstrakter "Kontrollverlust" über die eigenen Daten genügen nicht als Schaden.
5. Es müssen konkrete negative Folgen dargelegt werden, die über einen bloßen Verstoß hinausgehen.

Das Gericht betont, dass die betroffene Person nicht vom Nachweis befreit ist, dass die negativen Folgen eines DSGVO-Verstoßes einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen.

Dieses Urteil zeigt augenscheinlich, wie die deutschen Gerichte nach und nach die Sprunghöhe für Schmerzensgeldforderungen nach der DSGVO festlegen. Betroffene müssen künftig sehr genau darlegen, welche konkreten negativen Auswirkungen ein Datenschutzverstoß für sie hatte, die über das bloße Faktum des Verstoßes hinausgehen.

"Der Kläger legt einen irgendwie gearteten immateriellen Schaden nicht dar. Das bloße längere Zuwarten auf die Erteilung der Auskunft bzw. die „verspätete Auskunft“ (Seite 8 der Berufungsbegründung) kann einen solchen nach der o.g. Entscheidung des EuGH keinesfalls darstellen, da dies bei einem Verstoß gegen die DSGVO immanent ist und nicht über den bloßen Verstoß hinausgeht. Ein dadurch bedingter, angeblich erlittener „Kontrollverlust“ hinsichtlich der eigenen Daten kann vor diesem Hintergrund ebenfalls nicht ausreichen, da nicht dargelegt und ersichtlich ist, dass dieser über die Umstände hinausgeht, die mit jedem einfachen Verstoß gegen die Bestimmungen der DSGVO für den Betroffenen verbunden sind." 
(Landgericht Köln, Urteil vom 19.04.2024, Az. 12 S 4/23, Rn. 26 nach REWIS = REWIS RS 2024, 4554)

Für Verantwortliche (mithin Unternehmen) gilt es, die Verteidigung gegen Schmerzensgeldforderungen auszubauen. Der Einwand der Erfüllung nach § 362 BGB gilt insbesondere für die Auskunftsansprüche, hier ist eine erste Hürde genommen. Beim Schadensersatz reichen standarisierte Vorträge, die man immer häufiger in der Praxis antrifft, schlicht nicht aus, um der Darlegungs- und Beweislast zu genügen. Unternehmen sollten sich daher auf ihre Prozesse zur Auskunft konzentrieren, um möglichst die Erfüllung geltend machen zu können - denn auch hier stellte das Gericht heraus, dass alleine "datenschutzfremde Zwecke" den Auskunftsanspruch nach Art. 15 DSGVO nicht zu Fall bringen. Sodann liegt der Ball bei den betroffenen Personen, aber die Verteidigungsmöglichkeiten wachsen.