LG Hannover: 500 EUR Schmerzensgeld als Schadensersatz nach Art. 82 DSGVO bei Datenerhebung per Scraping

So das Gericht in seinem Urteil vom 14. August 2023 (Az.: 18 O 89/22). Das Gericht führt in den Entscheidungsgründen unter anderem zur zugesprochenen Höhe des zugesprochenen Anspruchs aus:

„…Bei der Bemessung des Schmerzensgeldes hat die Kammer im Rahmen ihres durch § 287 ZPO eingeräumten Ermessens ein Schmerzensgeld von 500,00 € für erforderlich, aber auch ausreichend erachtet.

Die Kammer hat sich für die Bemessung an den Grundsätzen des § 253 BGB sowie den Kriterien des Art. 83 Abs. 2 DSGVO orientiert. Darunter zählen u. a. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, der Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten und die betroffenen Kategorien personenbezogener Daten zur Ermittlung (LG Lübeck, CR 2023, 442, 449 mit Verweis auf Quaas in BeckOK/DatenschutzR DS-GVO Art. 82 Rz. 31-36).

Gemäß den Ausführungen unter dem vorigen Punkt aa) hat die Kammer berücksichtigt, dass der Kläger durch den Verlust der Kontrolle seiner Daten und deren freier Verfügbarkeit im Internet belastet ist. Damit steht in Einklang, dass es sich auch objektiv insoweit um einen schweren Verstoß handelt, als dass es sich bei der Telefonnummer in Verknüpfung mit einem Klarnamen um sensible Daten handelt, die geeignet sind, eine Bekanntheit vorzuspiegeln, was erhebliches Missbrauchsrisiko mit sich bringt. Dies gilt umso mehr, wenn weitere Daten verknüpft werden können. Zu berücksichtigen ist ferner, dass die Beklagte mehrere Verstöße gegen die DSGVO begangen hat. Diese Umstände sprechen für ein höheres Schmerzensgeld.

Das Gericht verkennt dabei nicht, dass sämtliche Daten des Klägers – mit Ausnahme der Mobiltelefonnummer – ohnehin für Dritte öffentlich einsehbar und damit beliebig kopierbar, weiterverwendbar und missbrauchbar gewesen sind. Maßgeblicher Anknüpfungspunkt für das Schmerzensgeld ist demgemäß nicht eine Beeinträchtigung der Kontrolle über allein diese Daten (der Kontrolle hatte sich der Kläger insoweit bereits freiwillig begeben), sondern die Beeinträchtigung der Kontrolle über die Möglichkeit der Verknüpfung der Daten. Hierfür ist es ohne Belang, dass die Mobiltelefonnummer nicht von der Beklagten „gestellt“, sondern von den Unbekannten per Zufallsgenerator „erraten“ worden ist. Denn die Beklagte hat die Nummer jedenfalls validiert (so auch: LG Bonn, Urteil vom 7. Juni 2023 – 13 O 126/22 -, Rn. 73 juris).

Schmerzensgeldmindernd ist zu berücksichtigen, dass es sich sämtlich um Daten aus der – grundsätzlich am wenigsten schutzwürdigen – Sozialsphäre des Klägers nach der Rechtsprechung des Bundesverfassungsgerichts zum allgemeinen Persönlichkeitsrecht handelt. Weiter ist zu berücksichtigen, dass sich der Kläger seiner Daten in Kenntnis des Geschäftsmodells der Beklagten freiwillig begeben hat, wenn auch nicht zu dem Zweck der streitgegenständlichen Verarbeitung (vgl. LG Bonn, aaO, Rn. 74, juris). Ferner war zu berücksichtigen, dass die Beklagte lediglich fahrlässig gehandelt hat und selbst Opfer eines Datendiebstahls durch kriminell handelnde Dritte wurde.

Bei der Bemessung der Schadensersatzhöhe hat die Kammer daneben auch die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes berücksichtigt. Andererseits war aber auch zu berücksichtigen, dass das Allgemeininteresse im Schwerpunkt nach Art. 83 DSGVO durch die Verhängung von Bußgeldern gewahrt wird…“