OLG Frankfurt a.M.:Schmerzensgeld nach DSGVO bei rechtswidriger Versendung eines Kontoabschlusses

Schmerzensgeld nach DSGVO bei rechtswidriger Versendung eines Kontoabschlusses – Unter anderem dazu hat das OLG Frankfurt a.M.. in seiner Entscheidung (Urteil vom 14. April 2022, Az.: 3 U 21/20) Stellung genommen. Streitgegenstand war die Versendung eines Kontoabschlusses pre Post, die nicht beim Kontoinhaber eintraf, sondern bei einem Dritten. Geltend gemacht wurde neben einem Schmerzensgeldanspruch nach Art. 82 DSGVO auch ein Unterlassungsanspruch. Beides sprach das Gericht dem Kläger zu, wobei ein Schmerzensgeld in Höhe von 500 EUR ausgesprochen wurde.

Zum Unterlassungsanspruch führt das Gericht in den Entscheidungsgründen zu den möglichen Anspruchsgrundlagen unter anderem aus:

„…Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassen der im Berufungsantrag zu II. genannten Handlungen aus § 823 Abs. 1, § 1004 Abs. 1 Satz 2 BGB analog i. V. m. Art. 6 Abs. 1 DSGVO oder § 17 Abs. 1 DSGVO i. V. m. Art. 6 Abs. 1 DSGVO wegen eines rechtwidrigen Eingriffs in sein allgemeines Persönlichkeitsrecht und Verletzung von Art. 6 Abs. 1 DSGVO durch die ehemalige Beklagte zu 2)….Die Durchsetzung eines Anspruchs auf Unterlassung bei einer rechtswidrigen Verarbeitung personenbezogener Daten im Sinne der Datenschutzgrundverordnung ist nach ganz herrschender Meinung möglich (vgl. zum Meinungsstand Leibold/Laoutoumai: Unterlassungsanspruch unter der DS-GVO? ZD-Aktuell 2021, 05583). Im Ergebnis sieht die herrschende Meinung einen Unterlassungsanspruch jedenfalls gemäß §§ 823, 1004 BGB (zum Teil i. V. m. Art. 6 Abs. 1 DSGVO) als gegeben an, da dieser nicht durch Art. 79 Abs. 1 DSGVO gesperrt ist (OLG Köln Urt. v. 14.11.2019 – 15 U 126/19, BeckRS 2019, 28523; Leibold/Laoutoumai aaO; a. A. VG Regensburg, Gerichtsbescheid vom 6.8.2020 – RN 9 K 19.1061, BeckRS 2020, 19361). Denn nur so sei ein lückenloser Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen gewährleistet. Aber auch aus der Datenschutzgrundverordnung ergibt sich ein Unterlassungsanspruch. Zwar sieht diese ausdrücklich einen Unterlassungsanspruch nicht vor. Allerdings wird in Art. 17 DSGVO ein Löschungsrecht normiert, aus dem in Verbindung mit Art. 79 DSGVO, der wirksame gerichtliche Rechtsbehelfe bei Verletzung der Datenschutzgrundverordnung garantiert, ein Unterlassungsanspruch hergeleitet werden kann (vgl. BGH, Urteil vom 12. Oktober 2021 – VI ZR 489/19 -, juris, Rz. 10; BSG, Urteil vom 18. Dezember 2018 – B 1 KR 31/17 R -, BSGE 127, 181-188, Rz. 13; Stollhoff in Auernhammer, DSGVO, 7. Aufl., Art. 17 Rz. 79; dies gilt auch für einen Löschungsanspruch gegenüber der SCHUFA, vgl. OLG Karlsruhe, Urteil vom 23. Februar 2021 – 14 U 3/19 -, juris)…“

Schmerzensgeld nach DSGVO bei rechtswidriger Versendung eines Kontoabschlusses – Ansicht des Gerichts zur Rechtsgrundlage des Anspruchs

Das Gericht führt in den Entscheidungsgründen zur Begründung des Anspruchs unter anderem aus:

„..Im hiesigen Rechtsstreit ist ein immaterieller Schaden des Klägers feststellbar. Da die Anforderungen an den (immateriellen) Schadenseintritt angesichts der in der Datenschutzgrundverordnung selbst gemachten Vorgaben und der sich entwickelnden überzeugenden Meinung in Rechtsprechung und Literatur (vgl. BVerfG, Beschluss v. 14. Januar 2021 – 1 BvR 2853/19 -, juris; diesem folgend: AG Pfaffenhofen, Urteil vom 9.9.2021 – 2 C 133/21 – BeckOnline Rz. 31 f.; vgl. auch LG Lüneburg, Urt. v. 14.7.2020 – 9 O 145/19; ArbG Düsseldorf, Urteil vom 05. März 2020 – 9 Ca 6557/18 -, juris Rz. 94 ff.; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 17 ff.) nicht besonders streng sind, ist eine – von der bloßen Verletzung der Datenschutzgrundverordnung zu trennende Beeinträchtigung – beim Kläger eingetreten.

…Die bisherige deutsche Rechtsprechung, die immateriellen Schadensersatz überhaupt nur bei schwerwiegenden Persönlichkeitsrechtsverletzungen zugesprochen hat, was auch der ausdrücklichen Regelung in § 8 Abs. 2 BDSG a. F. entsprach, ist nicht mehr anwendbar (vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a)….

Der Senat ist auch nicht der Auffassung, dass hier ein Bagatellfall vorliegt, der von der Anwendbarkeit der Datenschutzgrundverordnung grundsätzlich auszuschließen wäre (vgl. in diese Richtung wohl OLG Dresden, Beschluss vom 11. Juni 2019 – 4 U 760/19 -, juris Rz. 13; LG Essen, Urteil vom 23.9.2021 – 6 O 190/21, LG Karlsruhe, Urteil vom 02. August 2019 – 8 O 26/19 -, juris; AG Hannover, Urteil vom 09. März 2020 – 531 C 10952/19 -, juris Rz. 22f.; AG Goslar, Urteil vom 27. September 2019 – 28 C 7/19 -, juris, RA Wybitul, Immaterieller Schadensersatz wegen Datenschutzverstößen, NJW 2019, 3265; Eichelberger, Ersatz immaterieller Schäden bei Datenschutzverstößen, WRP 2021, 159 ff. Rz. 29 ff.; Spittka: Die Kommerzialisierung von Schadensersatz unter der DSGVO, GRUR-Prax 2019, 475; nach derzeitiger Rechtsprechung des EuGH ohne Vorlage klar verneinend: BVerfG, Beschluss v. 14. Januar 2021 – 1 BvR 2853/19 -, juris; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 18a m. w. N.; verneinend: Gola DS-GVO/Gola/Piltz, 2. Aufl. 2018, DS-GVO Art. 82 Rn. 13; offen gelassen: BeckOK DatenschutzR/Quaas, 38. Ed. 1.11.2021, DS-GVO Art. 82 Rn. 25c). Einen Ausschluss vermeintlicher Bagatellschäden wegen fehlender Erheblichkeit sieht weder das Gesetz vor, noch ist es (bisher) Grundlage der Rechtsprechung des Gerichtshofs der Europäischen Union (vgl. BVerfG, Beschluss v. 14. Januar 2021 – 1 BvR 2853/19 -, juris Rz. 21)….

Der Schadensbegriff in Art. 82 DSGVO ist, soweit dieser nicht autonom auszulegen ist (LG Düsseldorf, Urteil vom 28.10.2021 – 16 O 128/20 – BeckOnline Rz 29; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 17; Eichelberger, WRP 2021, 159 Rz. 15; Korch: Schadensersatz für Datenschutzverstöße, NJW 2021, 978), jedenfalls im Lichte von Erwägungsgrund 146 der Datenschutzgrundverordnung und der Rechtsprechung des Europäischen Gerichtshofs weit auszulegen (vgl. Kohn: Der Schadensersatzanspruch nach Art. 82 DS-GVO, ZD 2019, 498; Wybitul/Neu/Strauch: Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen, ZD 2018, 202 ff.; Spindler/Schuster/Spindler/Horváth, 4. Aufl. 2019, DS-GVO Art. 82 Rn. 8, a. A. wohl LG Frankfurt/M., Urteil vom 18.9.2020 – 2-27 O 100/20), so dass die Ziele der Datenschutzgrundverordnung in vollen Umfang erreicht werden (vgl. Rechtbank Amsterdam Urt. v. 2.9.2019 – 7560515 CV EXPL 19-4611, BeckRS 2019, 24009 Rz. 38)…

Danach liegt beim Kläger eine spürbare Beeinträchtigung seines durch die Datenschutzgrundverordnung geschützten Rechts an den eigenen personenbezogenen Daten durch das Zusammenspiel der folgenden Faktoren vor: (i) Weiterleitung des Kontoabschlusses an den Dritten, (ii) begründete Befürchtung des Klägers, dass es angesichts des Ende Januar/Anfang Februar 2019 im Online-Zugang des Klägers eingestellten Kontoauszugs, der die Adresse des Dritten in Stadt1 auswies, wieder zu einer Datenpanne gekommen sein könnte und (3) Meldung einer unzutreffenden „früheren Adresse“ zum SCHUFA-Profil des Klägers durch die ehemalige Beklagte zu 2)…“

Schmerzensgeld nach DSGVO bei rechtswidriger Versendung eines Kontoabschlusses – Ansicht des Gerichts zur Höhe des Anspruchs

Das Gericht führt in den Entscheidungsgründen zur Höhe des Anspruchs unter anderem aus:

„… Der Kläger hat aufgrund des oben Gesagten aus Art. 82 Abs. 1 DSGVO auch einen Anspruch auf Ersatz seines immateriellen Schadens: Allerdings hat sich hinsichtlich der Bemessung des aufgrund von Art. 82 Abs. 1 DSGVO zu gewährenden immateriellen Schadensersatzes noch keine gefestigte Rechtsprechung oder einhellige Meinung herausgebildet, auch wenn die zu § 253 BGB entwickelten Grundsätze herangezogen werden können (Nemitz in Ehmann/Selmayr, Datenschutzgrundverordnung, 2. Aufl, 2018, Art. 82 Rz. 28).

 aa) Die Geschädigten sollen gemäß Erwägungsgrund Nummer 146 Satz 6 der Datenschutzgrundverordnung einen „vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Diese Stoßrichtung wird mit Blick auf die einschlägige Rechtsprechung des Gerichtshofs der Europäischen Union dahingehend interpretiert, dass die Schadensersatzhöhe unter Berücksichtigung des unionsrechtlichen Effektivitätsgrundsatzes so zu bemessen sei, dass eine Abschreckungswirkung entfaltet werde (vgl. Paal: Schadensersatzansprüche bei Datenschutzverstößen, MMR 2020, 14 ff.; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 82 Rn. 10; Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 65).

bb) Unstreitig sind für die Bemessung des Schmerzensgeldes auch die Kriterien des Artikel 83 Abs. 2 DSGVO, der für die Verhängung von Geldbußen durch die Aufsichtsbehörden gilt, heranzuziehen, also die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten.

cc) Das Bundesarbeitsgericht hat durch Vorlage an den Gerichtshof der Europäischen Union weiter die Frage aufgeworfen, ob es bei der Bemessung des immateriellen Schadensersatzes auf den der Grad des Verschuldens des Verantwortlichen ankommt und ob ein geringes Verschulden zu dessen Gunsten berücksichtigt werden darf (BAG, EuGH-Vorlage vom 26. August 2021 – 8 AZR 253/20 (A) -, juris). dd) Nach alledem ist im vorliegenden Fall die Gewährung eines Schmerzensgeldes in Höhe von 500,00 € ausreichend und angemessen. Zwar ist, wie oben ausgeführt, ein immaterieller Schaden eingetreten. Der Schmerzensgeldanspruch ist aber angesichts dessen, dass der eingetretene Schaden am unteren Rand möglicher Beeinträchtigungen des Persönlichkeitsrechts des Klägers und seiner Rechte aus Art. 6 DSGVO anzusiedeln ist, grundsätzlich nicht sehr hoch zu bemessen. Die vom Kläger nach außen gedrungenen personenbezogenen Daten betreffen lediglich seine Kontonummer, einen Kontostand aus dem Jahr 2018 sowie Abschlussposten (Sollzinsen, Kosten AktivKonto, Porto) in Höhe von insgesamt 29,28 € und den Umstand, dass er im dritten Quartal einen (Dispositions-)Kredit zu 10,9% in Anspruch genommen hatte. Auch ist nur bekannt, dass lediglich zwei Personen hiervon entgegen Art. 6 DSGVO Kenntnis erlangt haben. Bei der Bemessung des Schmerzensgeldes ist weiter zu berücksichtigen, dass der Kläger zwar Anfang 2019 Einsicht in einen weiteren an den Dritten in Stadt1 adressierten Kontoauszug hatte, er aber hinsichtlich seiner Daten lediglich befürchtet hat, dass der Dritte (abermals) Einsicht hatte. Indes ist zu Lasten der Beklagten zu werten, dass dieser Vorfall sich zu einem Zeitpunkt ereignete, zu dem die ehemalige Beklagte zu 2) über die fehlerhafte Migration der Datensätze informiert war und dem Kläger mitgeteilt hatte, dass es sich um einen einmaligen Vorfall gehandelt habe. Weiter ist zu werten, dass zwar bis zur Löschung eine falsche „frühere Adresse“ des Klägers bei der SCHUFA hinterlegt war, aber nicht ersichtlich ist, dass sich dieser Umstand negativ auf seine Bonität oder seinen „Score“ ausgewirkt hat. Dass die Bonitätsauskunft unter „1. Kreditkarte“ nicht den Kläger betraf, hat er selbst nicht vorgetragen. Eine im Rahmen der Bemessung des Schadensersatzes zu berücksichtige Abschreckungswirkung wird im Übrigen in diesem Fall bereits durch den Umstand bewirkt, dass ein Schmerzensgeld zugesprochen wird….“