LG Mannheim: Sorge um die Verwendung unbefugt offengelegter Daten nach Scraping von personenbezogenen Daten aus einem Account eines sozialen Netzwerkes kann einen immateriellen Schaden im Sinne von Art. 82 I DSGVO darstellen

Unter anderem dies hat das Landgericht Mannheim in seinem Urteilen vom 15. März 2024 (Az.: 1 O 99/23) im Rahmen eines Klageverfahrens durch das gesprochene Urteil festgestellt. In beiden Fällen sah das Gericht nach der entsprechenden mündlichen Verhandlung und auch Anhörung der Klagenden einen Anspruch nach Art. 82 DSGVO auf Schadensersatz als begründet an. In der Entscheidung führt das Gericht dabei in den Entscheidungsgründen unter anderem aus:

„…Das Gericht erachtet allerdings als überwiegend wahrscheinlich, dass der Kläger in Sorge ist um die Verwendung seiner Daten durch Unbefugte aufgrund der Offenlegung derselben als Folge der Verstöße der Beklagten gegen Art. 25 DSGVO und Art. 32 DSGVO.

Der Kläger hat insoweit angegeben, dass er in Sorge um seine Daten sei. Es sei für ihn so, als habe er seinen Haustürschlüssel verloren. Das Ganze hänge wie ein Damoklesschwert über ihm. Er fürchte Identitätsdiebstahl oder ähnliches und dass er sich dann für die unbefugte Verwendung seiner Daten z.B. im Rahmen von Spoofing rechtfertigen müsse. Er wolle die Verantwortung für die Situation nicht bei sich haben. Ihm sei bekannt, das die „Leak-Liste“ gehandelt werde, sei deshalb aber nicht verärgert, sondern eben in Sorge.

Selbstverständlich berücksichtigt das Gericht, dass der Kläger „in eigener Sache“ aussagt. Gleichwohl war seine Darstellung nicht überzogen, sondern differenziert. So berichtete er nicht von „schlaflosen Nächten“ wie noch schriftsätzlich vorgetragen. Auch berichtete er nicht von Ärger. Seine Sorge konnte er auf Nachfrage auch spezifizieren im Hinblick auf die verschiedenen Möglichkeiten diese unbefugt zu verwenden. Dabei zeigte sich, dass dem Kläger die technischen Zusammenhänge und Möglichkeiten bei der missbräuchlichen Verwendung seiner Daten bewusst sind. Gerade deshalb ist auch nachvollziehbar, dass sich der Kläger sorgt, da er die konkreten Gefahren kennt, die mit der Offenlegung seiner Daten verbunden sind. Trotz des Eigeninteresses des Klägers am Ausgang des Verfahrens reicht dies aus, um zumindest mit überwiegender Wahrscheinlichkeit davon auszugehen, dass der Kläger sich wirklich um den Umgang mit seinen offengelegten Daten sorgt.

Allerdings konnte sich das Gericht darüber hinaus nicht die Überzeugung bilden, dass das von dem Kläger berichtete „vermehrte“ SPAM-Aufkommen in Nachrichten per SMS sowie Anrufen im Zusammenhang mit der Offenlegung seiner Daten durch das gegenständliche „Scraping“ zusammenhängt. Der Kläger hat zwar ausgeführt, dass er ein größeres SPAM-Aufkommen bei den Mails und bei den SMS festgestellt habe. Ein SPAM-Aufkommen bei den Mails ist jedoch schon von vornherein nicht nachvollziehbar, da die E-Mail-Adresse – unstreitig – nicht im Rahmen des gegenständlichen Scrapings offengelegt wurde. Im Hinblick auf die SPAM-SMS und Anrufe ist in die Würdigung einzustellen, dass der Kläger möglicherweise sensibilisiert wurde für die Anzahl von SPAM-Nachrichten, nachdem er von dem Scraping-Vorfall erfahren hatte. Dies zieht die Verlässlichkeit seiner Schätzungen der Anzahl an SPAM-Nachrichten in Zweifel. Unabhängig davon hat der Kläger angegeben, dass er über eine Suche im Internet auf den Scraping-Sachverhalt aufmerksam geworden sei. Hierauf habe er ein größeres SPAM-Aufkommen festgestellt. Wollte man aber einen Zusammenhang zwischen einem (erheblichen) Zuwachs an SPAM-Nachrichten und dem Scraping-Sachverhalt herstellen, wäre zu erwarten gewesen, dass er schon im Jahr 2019 diesen erheblichen Anstieg an SPAM-Nachrichten feststellt. Diese merkliche Erhöhung hätte ihn dann schon damals Veranlassung gegeben nach Gründen hierfür zu suchen. Dies hat der Kläger aber nicht vorgebracht. Seine Darstellung legt vielmehr nahe, dass er rückbeziehend, also aus der Sicht ex post, einen kausalen Zusammenhang herstellt. Es ist nicht nur im Bereich der Wahrnehmungspsychologie (dazu vgl. Spohrer in: Möllers, Wörterbuch der Polizei, 3. Aufl., Stichwort „Knallzeuge“) bekannt, dass Ergänzungen vorgenommen werden, um einen logisch vollständigen und „erklärbaren“ Geschehensablauf zu erhalten. Belastbar sind derartige Zuschreibungen aber nicht. Hinzu kommt, dass der Kläger unstreitig auch schon vor dem gegenständlichen Scraping-Sachverhalt SPAM-Nachrichten erhalten hat. Dann aber besteht auch die Möglichkeit, dass ein Anstieg durch eine Weitergabe seiner bereits unabhängig vom Scraping offengelegten Daten zu erklären wäre. Auf dieser Grundlage kann jedenfalls eine überwiegende Wahrscheinlichkeit für den Anstieg an SPAM-Nachrichten durch den gegenständlichen Sachverhalt nicht festgestellt werden.

Aus entsprechendem Grund kann auch der konkret geschilderte Vorfall mit der Freundin des Klägers, bei dem eine SPAM-Nachricht erhalten worden sein soll, nicht auf die gegenständliche Offenlegung der Daten des Klägers zurückgeführt werden…“

Das Gericht sprach dem Kläger dann einen Schadensersatz in Höhe von 50 EUR zu und begründete dies unter anderem wie folgt:

„…Angesichts des geringen Umfanges, durch den der Kläger durch seine Sorge in der Lebensführung beeinträchtigt wird, der Art der offengelegten Daten, einschließlich des Umstandes, dass nicht der wahre Nachname angegeben wurde, sowie der sich hieraus und im Hinblick auf die Mobiltelefonnummer ergebenden Missbrauchsmöglichkeiten, erscheint ein Betrag von 50 € zum Ausgleich als angemessen.

Dabei handelt es sich nicht um einen lediglich symbolischen Schadensersatz, wobei dahingestellt bleiben kann, ob ein solcher in Bezug auf die DSGVO überhaupt unzulässig wäre (vgl. dazu Paal, NJW 3673, 3678; zur RL 2000/43/EG auch EuGH, Urteil vom 15.04.2021 – C-30/19, Rn. 39). Es erscheint ohnehin fraglich, was mit dem Adjektiv „symbolisch“ konkret ausgesagt werden soll. In Bezug auf einen immateriellen Schaden kann durch den Zahlbetrag nie der immaterielle Schaden selbst „beseitigt“ werden. Den zugrundeliegenden Gedanken könnte man vielmehr etwa dahin formulieren, dass der Schädiger, der dem Geschädigten über den Vermögensschaden hinaus das Leben schwergemacht hat, nun durch seine Leistung dazu helfen soll, es ihm im Rahmen des Möglichen wieder leichter zu machen (so BGH, Beschluss vom 06.07.1955 – GSZ 1/55). Insoweit steht der Zahlbetrag stets für etwas anderes, nämlich symbolisch für das Erleichtern des Lebens in anderer Hinsicht. Davon zu unterscheiden wäre es, wenn – wie bei Kaufpreisen – lediglich ein Betrag gezahlt würde, der lediglich abstrakt für diesen Ausgleich selbst stünde, ohne dass ein Bezug zu dem immateriellen Schaden hergestellt würde. Ein solch symbolischer Schadensersatz wäre mit der Ausgleichsfunktion des Art. 82 Abs.1 DSGVO nicht vereinbar. Dies wiederum zwingt umgekehrt nicht, bei dem Vorliegen eines immateriellen Schadens stets höhere Geldbeträge zuzubilligen. Zwar mag es bei der Bemessung von Schmerzensgeld nach nationalem Recht kaum einmal Beträge in solch geringer Höhe, also Beträge von 100 € oder weniger geben. Dies ist jedoch darauf zurückzuführen, dass nach nationalem Recht und der hierzu ergangenen Rechtsprechung Bagatellverletzungen für die Begründung des haftungsrechtlichen Zusammenhangs unzureichend sind und damit entschädigungslos bleiben können. Eine Bagatelle im Sinne dieser (nationalen) Rechtsprechung ist eine vorübergehende, im Alltagsleben typische und häufig auch aus anderen Gründen als einem besonderen Schadensfall entstehende Beeinträchtigung des Körpers oder des seelischen Wohlbefindens. Damit sind Beeinträchtigungen gemeint, die sowohl von der Intensität als auch der Art der Primärverletzung her nur ganz geringfügig sind und üblicherweise den Verletzten nicht nachhaltig beeindrucken, weil er schon auf Grund des Zusammenlebens mit anderen Menschen daran gewöhnt ist, vergleichbaren Störungen seiner Befindlichkeit ausgesetzt zu sein (stRspr. vgl. BGH, Urteil vom 16.03.2004 – VI ZR 138/03). Wie ausgeführt, steht Art. 82 Abs. 1 DSGVO aber einer Auslegung entgegen, die für einen durch einen Verstoß gegen diese Verordnung verursachten immateriellen Schaden eine „Bagatellgrenze“ oder Erheblichkeitsschwelle vorsieht. Wenn aber die Bagatellgrenze in Fällen des Art. 82 DSGVO wegfällt, dann kann allein aus dem Umstand, dass ein Schadensersatzbetrag möglicherweise gering erscheint, nicht geschlossen werden, dass dieser nur abstrakt symbolisch ist und der Ausgleichsfunktion nicht gerecht werde. Geringe immaterielle Schäden erfordern vielmehr auch nur einen geringen Ausgleich…“

Hinweis:

Zum Zeitpunkt der Erstellung des Beitrages ist dem Autor nicht bekannt, ob gegen die Entscheidung das Rechtsmittel der Berufung eingelegt wurde.