So das Gericht in seinem Urteil vom 23. Januar 2025 (Az.: 15 O 262/23) in einem Rechtsstreit rund um die Weitergabe von sog. Positivdaten im Rahmen eines Vertragsverhältnisses. Die Rechtsgrundlage des berechtigten Interesses nach Art. 6 I lit. f) DSGVO wurde durch das Gericht verneint. Das Gericht führt in den Entscheidungsgründen unter anderem aus:
„…Nichts anderes folgt zur Überzeugung der Kammer aus dem Umstand, dass die Klägerseite allerdings mit einer solchen Datenverarbeitung hätte rechnen können, da die Beklagte die Weitergabe der Daten an die SCHUFA im Rahmen des Vertragsabschlusses im Datenmerkblatt angekündigt hat. Zum einen überzeugt dieses Argument schon deshalb nicht, weil die Ankündigung bevorstehender Datenverarbeitungen nur dann für die Einstufung der Praxis als rechtswidrig bzw. rechtmäßig erheblich sein kann, wenn dem Betroffenen hierdurch tatsächlich Handlungsspielräume eröffnet würden. Andernfalls handelte es sich bei der Ankündigung um eine bloße Formalie mit allerdings erheblichen Folgen, was dem vom EuGH mehrfach betonten Gebot widerspräche, die DSGVO derart auslegen, dass das dort vorgesehene Schutzniveau auch praktisch wirksam wird. Tatsächlich bestehen aber keine Anhaltspunkte dafür, dass hier das Datenmerkblatt den Betroffenen praktisch wirksame Handlungsspielräume eröffnete, denn in der praktischen Realität standardisierter Verfahren für Vertragsabschlüsse im Massengeschäft bestehen für die Verbraucher keine realistischen Möglichkeiten, in der Vertragsabschlusssituation Abweichungen von den vorgesehenen Routinen zu verhandeln. Die einzige reale Handlungsoption bestand allenfalls im Verzicht auf den Vertragsschluss, was darauf hinausliefe, dass Bürgerinnen und Bürger, die auf Wahrung ihrer nach der DSGVO verbrieften Rechte bestehen möchten, von der Teilnahme an zeitgemäßen Kommunikationsmöglichkeiten ausgeschlossen würden. Eine derartige Auslegung würde damit der DSGVO jede praktische Wirksamkeit entziehen…“
Hinsichtlich des zugesprochenen Schadensersatzes in Höhe von 400 EUR führt das Gericht auch unter Bezugnahme auf das Urteil des BGH vom 18. November 2024 (Az.: IV ZR 10/24) unter anderem aus:
„…Dies zugrunde gelegt ist festzustellen: Bei den eingemeldeten Positivdaten handelte es sich um Daten, welche als weniger sensibel einzustufen sind. Sie beinhalten lediglich einige Daten zur Zuordnung der Person (Name etc.) sowie die Information, dass ein Mobilfunkvertrag abgeschlossen worden ist. Diese Daten wurden auch nicht (wie in den Fällen des Verkaufs von Daten etwa von „Hackern“ im Internet- oder Darknet) einem völlig unübersehbaren Empfängerkreis zur Verfügung gestellt, sondern im ersten Schritt lediglich einer klar benennbaren Institution sowie im weiteren Schritt einer – wenn auch größeren, so aber doch abgrenzbaren Zahl an hieran teilnehmenden weiteren Unternehmen. Die Daten wurden zudem mittlerweile gelöscht. Zudem fehlten dem Kläger auch nicht jedwede Möglichkeiten der Schadensbegrenzung. Insbesondere hätte er zumindest die Möglichkeit gehabt einen Löschungsantrag zu stellen – wobei die Kammer vorliegend nicht verkennt, dass damit ein möglicherweise lang andauerndes Prüfverfahren in Gang gesetzt worden wäre ohne zeitnahes und klar absehbares Ergebnis.
Um sich der Schadenshöhe zu nähern, zieht die Kammer darüber hinaus auch die schon mehrfach entschiedenen Facebook Scraping Fälle als auch eine jüngst ergangene Entscheidung des EuG heran. In den schon mehrfach entschiedenen Scraping Fällen von Facebook hat die Kammer in ständiger Rechtsprechung einen immateriellen Schadensersatz in Höhe von 500 EUR für den reinen Datenverlust angenommen (vgl. etwa LG Lübeck, Urteil vom 25.5.2023 – Az. 15 O 74/22 –, Juris). Anders als in dem hier vorliegenden Fall, hatte der dortige Verstoß allerdings zur Folge, dass etwas mehr und etwas sensiblere Daten an einen unter anderem auch kriminellen Empfängerhorizont (Darknet) gelangt sind.
Das EuG hat in seinem Urteil vom 08.01.2025 In der Rechtssache T-354/22 einen immateriellen Schadensersatz in Höhe von 400 EUR wegen der rechtswidrigen Übermittlung einer IP-Adresse an Dritte (hier: Facebook) angenommen.
Die Kammer schätzt nach alledem den Schaden ähnlich ein, wie der EuG bei der rechtswidrigen Übermittlung einer IP-Adresse an Dritte. Unter den Umständen hält die Kammer eine Entschädigung in Höhe von 400 EUR für angemessen…“
Hinweis des Autors:
Dem Autor ist zum Zeitpunkt der Erstellung des Beitrages nicht bekannt, ob gegen die Entscheidung das Rechtsmittel der Berufung eingelegt worden ist.