LG Karlsruhe: Kein DSGVO-Schadensersatz bei Bagatellschäden

Ein Beitrag von RAin Sarah Op den Camp, FAin für Handels- und Gesellschaftsrecht

Anlass für die Entscheidung des Gerichts war ein Datenleck bei einer Onlineplattform des Kreditkartenanbieters MasterCard. Betroffen war davon auch ein Karlsruher Verbraucher. Von ihm waren zahlreiche persönliche Daten wie Name, Geburtsdatum, Geschlecht, E-Mailadresse und Kreditkartennummer auf der gehackten Plattform hinterlegt. Der Verbraucher forderte aus diesem Grund Schadensersatz.

Das Gericht lehnte dies ab, da es sich bei den eingetretenen Nachteilen allenfalls um Bagatellschäden handle:

"Der Verpflichtung zum Ausgleich eines immateriellen Schadens muss nämlich eine benennbare und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die beispielsweise in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden "Bloßstellung" liegen kann (...). Auch im Bereich des immateriellen Schadens kommt ein Anspruch nur dann in Betracht kommt, wenn für den Betroffenen ein zwar immaterieller, aber dennoch spürbarer Nachteil entstanden ist; der Verstoß gegen Vorschriften der DSGVO allein führt nicht unmittelbar zum Schadensersatz. (...)

Dennoch ist Art. 82 nicht so auszulegen, dass die Norm einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet."

 

Zur Schadensintensität argumentierte das Gericht wie folgt:

„Dagegen stellt die Verbreitung des Namens, Geburtsdatums, Geschlechts, der E-Mail-Adresse und der Telefonnummer des Klägers jedenfalls im Streitfall nur einen Bagatellschaden dar. Soweit der Kläger argumentiert, diese Daten ließen sich für einen Identitätsdiebstahl nutzen, handelt es sich dabei allein um ein abstraktes - nicht sonderlich wahrscheinliches - Risiko, das sich jedenfalls zum Schluss der mündlichen Verhandlung noch nicht realisiert hatte."

 

Auch führte das Gericht aus, dass selbst bei Vorliegen eines konkreten Datendiebstahls ein Schadensersatzanspruch nicht gegeben sei, soweit die Daten keine kompromittierenden Inhalte enthalten haben.

Aber in welchen Fällen gibt es denn nun einen Schadensersatzanspruch ? Nach Art. 82 DSGVO ist das der Fall, wenn ein materieller oder immaterieller Schaden verletzt wird. Ein materieller Schaden ist etwa dann gegeben, wenn durch einen Datenschutzverstoß Kreditkartendaten in falsche Hände geraten und ein konkreter finanzieller Nachteil entsteht. Für einen immateriellen Schaden muss eine spürbare Verletzung des Persönlichkeitsbereiches des Verletzten vorliegen. Nur geringe Unannehmlichkeiten reichen hier nicht aus.

 

LG Karlsruhe, Urteil vom 09.02.2021 – 4 O 67/20; Art. 82 DSGVO