Schadensersatz für Datenschutzverstöße – 4.000 Euro Schmerzensgeld für E-Mail an Vorgesetzten
Neben Bußgeldern kommt für die Verantwortlichen und Unternehmen für Verstöße gegen die Datenschutzgrundverordnung auch eine Haftung in Form von Ersatz der materiellen und immateriellen Schäden der Betroffenen in Frage. Da der Datenschutz als Ausfluss des allgemeinen Persönlichkeitsrechts einen direkten Einfluss auf das Leben von Menschen haben kann, sind Bußgelder als Sanktion nicht ausreichend für die Schäden der Betroffenen.
Gerade dann, wenn Personen durch Datenschutzverstöße Schäden entstehen, materieller und immaterieller Art, sieht die DSGVO mit Art. 82 eine Möglichkeit der Haftung vor. Wir informieren in diesem Beitrag über den Schadensersatzanspruch des Art. 82 DSGVO und veranschaulichen diesen Anspruch an einem aktuellen Urteil des Landgericht Köln.
Wer haftet für Verstöße gegen die DSGVO?
Jedes Unternehmen und jede Person, die personenbezogene Daten erhebt und verarbeitet, muss auch den Schutz dieser Daten gewährleisten. Wird der Schutz nicht ernst genug genommen und nicht alle Maßnahmen ergriffen, um die personenbezogenen Daten rechtskonform zu schützen und Zuwiderhandlungen zu vermeiden, werden die staatlichen Datenschutzbehörden regelmäßig Bußgelder verhängen und Schutzmaßnahmen anordnen.
Doch Bußgelder stellen lediglich die Strafe für den Verstoß des Unternehmens gegen die DSGVO dar. Treten bei den Personen, deren personenbezogene Daten missbräuchlich genutzt oder verarbeitet wurden, Schäden z.B. finanzieller Art auf, haben die Personen von dem verhängten Bußgeld nichts.
Schadensersatz als mittelbare Sanktion und individueller Ausgleich von Schäden
Um solche Schäden auszugleichen, enthält die DSGVO den Art. 82. Diese Regelung beinhaltet, dass Personen, die einen materiellen oder immateriellen Schaden erlitten haben, diesen Schaden gegenüber den Verantwortlichen oder Auftragsverarbeitern geltend machen können. Im Vordergrund steht damit der Ausgleich von individuell erlittenen Schäden für die betroffenen Personen.
Allerdings fallen über den Ausgleich von Schäden Art. 82 DSGVO noch weitere Aufgaben zu:
· mittelbare Sanktion von datenschutzrechtlichen Verstößen (die unmittelbare Sanktion erfolgt durch verhängte Bußgelder)
· Vorbeugung von weiteren Verstößen
· Generalpräventive Abschreckung von weiteren Verstößen z.B. bei anderen Verantwortlichen oder in anderen Unternehmen
· Schaffung eines Anreizes für zusätzliche Sicherungsmaßnahmen der Verantwortlichen, damit keine weiteren Verstöße begangen werden
Der präventiven Wirkung des Schadensersatzes misst die Rechtsprechung hinsichtlich der Persönlichkeitsverletzung einen besonderen Charakter zu, so dass durch die Möglichkeit Schadensersatz zu fordern die Datenschutz-Verantwortlichen schon vor möglichen Verstößen die Datensicherheit derart erhöhen, dass es erst gar nicht zu einem Verstoß kommt.
Schmerzensgeld für Auto-Käufer? LG Köln bejaht Anspruch
Das Landgericht Köln sprach einem Auto-Käufer in seinem Urteil vom 28.09.2022, Az. 28 O 21/22, einen Schadensersatz von 4.000 Euro nach Art. 82 DSGVO zu.
Was war passiert?
In dem Fall vor dem Landgericht Köln ging es um einen Auto-Kauf inkl. Finanzierung. Der Auto-Käufer war selbst PKW-Verkäufer und hatte mit entsprechenden Finanzierungen beruflich zu tun. Er kaufte und finanzierte einen PKW, aber nicht bei seinem Arbeitgeber, sondern bei einem Konkurrenzunternehmen.
Das Fahrzeug wurde Mitte Juni 2021 übergeben. Wegen fehlender Unterlagen bezüglich der Finanzierung des Fahrzeugs, wandte sich der Verkäufer im Juli 2021 unter Verwendung der geschäftlichen E-Mail-Adresse, welche verwendet werden sollte, an den Kläger. Da sich der Kläger während dieser Zeit im Urlaub befand, antwortete er nicht.
Verkäufer wendet sich an Arbeitgeber
Der Verkäufer schrieb daraufhin eine E-Mail an den Vorgesetzten des Klägers. Der Verkäufer wies auf den Fahrzeugkauf bei dem Konkurrenzunternehmen hin und auch, dass für die Finanzierung noch Nachweise fehlten. Der Vorgesetzte solle mit dem Käufer ein klärendes Gespräch vornehmen, bat der Verkäufer.
Zwar entschuldigte sich das Autohaus nach einem lautstarken Telefonanruf für das Verhalten ihres Verkäufers bei dem Kläger. Der Kläger aber forderte mit anwaltlichem Schreiben zur Abgabe einer Unterlassungserklärung auf und die Zahlung von Schmerzensgeld.
Nach Datenschutzverstoß folgt Arbeitsunfähigkeit des Klägers
Nach der Offenlegung des Autokaufs wurde der Kläger zu einem Gespräch bei seinem Arbeitgeber gebeten. In diesem Gespräch musste sich der Kläger für den privaten Autokauf bei einem Konkurrenzunternehmen rechtfertigen.
In der Folge kam es bei dem Kläger zu einer depressiven Episode und er wurde arbeitsunfähig. Durch die massiven psychischen Auswirkungen sei das Arbeitsverhältnis des Klägers zu seinem Arbeitgeber belastet und seine Arbeitsstelle sei zum 01.04.2022 neu ausgeschrieben worden. Sein Arbeitsverhältnis würde deshalb in Kürze enden, so der Kläger.
Wie entschied das Gericht?
Der Kläger verlangte für die Offenlegung des privaten Autokaufs in der E-Mail des Verkäufers an den Vorgesetzten des Klägers immateriellen Schadensersatz wegen Verletzung der Datenschutz-Grundverordnung. Die E-Mail verstoße gegen Art. 6 DSGVO, weil Bonitätsdaten an den Arbeitgeber gelangt sind, gegen Art. 7 DSGVO wegen der Kontaktaufnahme mit dem Arbeitgeber und gegen Art. 12 DSGVO wegen Verstößen gegen Informationspflichten.
Hierfür verlangte der Kläger ein Schmerzensgeld in Höhe von min. 100.000 Euro gem. Art. 82 DSGVO. Das Landgericht Köln gab in seinem Urteil vom 28.09.2022, Az. 28 O 21/22, dem Kläger zwar Recht, aber entschied lediglich auf ein Schmerzensgeld von 4.000 Euro.
Versand stellt Verarbeitung personenbezogener Daten dar
Das LG sah in der E-Mail des Verkäufers an den Arbeitgeber des Klägers eine Verarbeitung personenbezogener Daten gem. Art. 4 Nr. 2 DSGVO. Diese Offenlegung des Vertragsverhältnisses war für die Erfüllung des Vertrags hinsichtlich der Finanzierung auch nicht erforderlich und somit gem. Art. 6 Abs. 1 Buchstabe b) DSGVO rechtswidrig.
Das Autohaus muss sich das Verhalten ihres Verkäufers, der den Datenschutzverstoß begangen hat, auch grundsätzlich zurechnen lassen. Eine Möglichkeit, sich für diesen Verstoß zu “entschuldigen” (Exkulpation) gem. Art. 82 DSGVO besteht für das Autohaus als Beklagte nicht, da Art. 82 keine Schädigungsabsicht voraussetze und der E-Mail-Versand vorsätzlich geschah.
Offenlegung des Autokaufs gegenüber Vorgesetzten ist unangebracht
Das Landgericht sah in der E-Mail des Verkäufers an den Vorgesetzten des Klägers eine unangebrachte Reaktion, die für den Kläger mit Scham und mit erheblichen Unannehmlichkeiten verbunden war. Durch die Offenlegung des Autokaufs bei einem Konkurrenzunternehmen könnte sich der Kläger genötigt fühlen den Autokauf zu rechtfertigen. Eine solche Rechtfertigung ist mit einem erheblichen Maß an Scham und Peinlichkeit verbunden, so das Landgericht.
Zwar wurde der hohe psychische Druck des Klägers durch das Landgericht nicht bezweifelt und der Verstoß gegen die Datenschutzgrundverordnung sei auch gravierend, jedoch sei die Zerrüttung des Arbeitsverhältnisses nicht für die Höhe des Schmerzensgeldes entscheidend. Die Zerrüttung sei nicht substantiiert vorgetragen und damit für diesen Sachverhalt unbeachtlich.
Keine höchstpersönlichen Daten, aber Geheimhaltungsinteresse bei dem Kläger
Auch handele es sich bei den offengelegten Daten nicht um solche, die als hochsensibel oder höchstpersönlich einzustufen seien. Dennoch hatte der Kläger ein offensichtliches Geheimhaltungsinteresse an der Offenlegung der Daten. Durch die gesandte E-Mail verliert der Kläger allerdings vollständig die Kontrolle über seine personenbezogenen Daten, auch wenn die Information nur an eine Person geleitet wurde.
Fazit: Schadensersatz und Schmerzensgeld bei Datenschutzverstößen
Nicht jeder Verstoß gegen die Datenschutzgrundverordnung führt automatisch zum Schadensersatz oder Schmerzensgeld. Allerdings sollten Mitarbeiter von Unternehmen, vor allem wenn diese mit personenbezogenen Daten umgehen, an deren Geheimhaltung den Betroffenen viel liegt, mit dem notwendigen Fingerspitzengefühl vorgehen.
Die Sensibilisierung und Aufmerksamkeit bei personenbezogenen Daten, deren Verarbeitung und Weitergabe, muss bei allen Mitarbeitern eines Unternehmens, wenn sie mit solchen Daten in Kontakt kommen und mit diesen tagtäglich arbeiten, immer wieder aktuell gehalten werden. Schließlich haftet das Unternehmen für das Tun ihrer Mitarbeiter und damit für Verstöße gegen den Datenschutz.
Schadensersatz für Datenschutzverstöße – 4.000 Euro Schmerzensgeld für E-Mail an Vorgesetzten
Neben Bußgeldern kommt für die Verantwortlichen und Unternehmen für Verstöße gegen die Datenschutzgrundverordnung auch eine Haftung in Form von Ersatz der materiellen und immateriellen Schäden der Betroffenen in Frage. Da der Datenschutz als Ausfluss des allgemeinen Persönlichkeitsrechts einen direkten Einfluss auf das Leben von Menschen haben kann, sind Bußgelder als Sanktion nicht ausreichend für die Schäden der Betroffenen.
Gerade dann, wenn Personen durch Datenschutzverstöße Schäden entstehen, materieller und immaterieller Art, sieht die DSGVO mit Art. 82 eine Möglichkeit der Haftung vor. Wir informieren in diesem Beitrag über den Schadensersatzanspruch des Art. 82 DSGVO und veranschaulichen diesen Anspruch an einem aktuellen Urteil des Landgericht Köln.
Wer haftet für Verstöße gegen die DSGVO?
Jedes Unternehmen und jede Person, die personenbezogene Daten erhebt und verarbeitet, muss auch den Schutz dieser Daten gewährleisten. Wird der Schutz nicht ernst genug genommen und nicht alle Maßnahmen ergriffen, um die personenbezogenen Daten rechtskonform zu schützen und Zuwiderhandlungen zu vermeiden, werden die staatlichen Datenschutzbehörden regelmäßig Bußgelder verhängen und Schutzmaßnahmen anordnen.
Doch Bußgelder stellen lediglich die Strafe für den Verstoß des Unternehmens gegen die DSGVO dar. Treten bei den Personen, deren personenbezogene Daten missbräuchlich genutzt oder verarbeitet wurden, Schäden z.B. finanzieller Art auf, haben die Personen von dem verhängten Bußgeld nichts.
Schadensersatz als mittelbare Sanktion und individueller Ausgleich von Schäden
Um solche Schäden auszugleichen, enthält die DSGVO den Art. 82. Diese Regelung beinhaltet, dass Personen, die einen materiellen oder immateriellen Schaden erlitten haben, diesen Schaden gegenüber den Verantwortlichen oder Auftragsverarbeitern geltend machen können. Im Vordergrund steht damit der Ausgleich von individuell erlittenen Schäden für die betroffenen Personen.
Allerdings fallen über den Ausgleich von Schäden Art. 82 DSGVO noch weitere Aufgaben zu:
· mittelbare Sanktion von datenschutzrechtlichen Verstößen (die unmittelbare Sanktion erfolgt durch verhängte Bußgelder)
· Vorbeugung von weiteren Verstößen
· Generalpräventive Abschreckung von weiteren Verstößen z.B. bei anderen Verantwortlichen oder in anderen Unternehmen
· Schaffung eines Anreizes für zusätzliche Sicherungsmaßnahmen der Verantwortlichen, damit keine weiteren Verstöße begangen werden
Der präventiven Wirkung des Schadensersatzes misst die Rechtsprechung hinsichtlich der Persönlichkeitsverletzung einen besonderen Charakter zu, so dass durch die Möglichkeit Schadensersatz zu fordern die Datenschutz-Verantwortlichen schon vor möglichen Verstößen die Datensicherheit derart erhöhen, dass es erst gar nicht zu einem Verstoß kommt.
Schmerzensgeld für Auto-Käufer? LG Köln bejaht Anspruch
Das Landgericht Köln sprach einem Auto-Käufer in seinem Urteil vom 28.09.2022, Az. 28 O 21/22, einen Schadensersatz von 4.000 Euro nach Art. 82 DSGVO zu.
Was war passiert?
In dem Fall vor dem Landgericht Köln ging es um einen Auto-Kauf inkl. Finanzierung. Der Auto-Käufer war selbst PKW-Verkäufer und hatte mit entsprechenden Finanzierungen beruflich zu tun. Er kaufte und finanzierte einen PKW, aber nicht bei seinem Arbeitgeber, sondern bei einem Konkurrenzunternehmen.
Das Fahrzeug wurde Mitte Juni 2021 übergeben. Wegen fehlender Unterlagen bezüglich der Finanzierung des Fahrzeugs, wandte sich der Verkäufer im Juli 2021 unter Verwendung der geschäftlichen E-Mail-Adresse, welche verwendet werden sollte, an den Kläger. Da sich der Kläger während dieser Zeit im Urlaub befand, antwortete er nicht.
Verkäufer wendet sich an Arbeitgeber
Der Verkäufer schrieb daraufhin eine E-Mail an den Vorgesetzten des Klägers. Der Verkäufer wies auf den Fahrzeugkauf bei dem Konkurrenzunternehmen hin und auch, dass für die Finanzierung noch Nachweise fehlten. Der Vorgesetzte solle mit dem Käufer ein klärendes Gespräch vornehmen, bat der Verkäufer.
Zwar entschuldigte sich das Autohaus nach einem lautstarken Telefonanruf für das Verhalten ihres Verkäufers bei dem Kläger. Der Kläger aber forderte mit anwaltlichem Schreiben zur Abgabe einer Unterlassungserklärung auf und die Zahlung von Schmerzensgeld.
Nach Datenschutzverstoß folgt Arbeitsunfähigkeit des Klägers
Nach der Offenlegung des Autokaufs wurde der Kläger zu einem Gespräch bei seinem Arbeitgeber gebeten. In diesem Gespräch musste sich der Kläger für den privaten Autokauf bei einem Konkurrenzunternehmen rechtfertigen.
In der Folge kam es bei dem Kläger zu einer depressiven Episode und er wurde arbeitsunfähig. Durch die massiven psychischen Auswirkungen sei das Arbeitsverhältnis des Klägers zu seinem Arbeitgeber belastet und seine Arbeitsstelle sei zum 01.04.2022 neu ausgeschrieben worden. Sein Arbeitsverhältnis würde deshalb in Kürze enden, so der Kläger.
Wie entschied das Gericht?
Der Kläger verlangte für die Offenlegung des privaten Autokaufs in der E-Mail des Verkäufers an den Vorgesetzten des Klägers immateriellen Schadensersatz wegen Verletzung der Datenschutz-Grundverordnung. Die E-Mail verstoße gegen Art. 6 DSGVO, weil Bonitätsdaten an den Arbeitgeber gelangt sind, gegen Art. 7 DSGVO wegen der Kontaktaufnahme mit dem Arbeitgeber und gegen Art. 12 DSGVO wegen Verstößen gegen Informationspflichten.
Hierfür verlangte der Kläger ein Schmerzensgeld in Höhe von min. 100.000 Euro gem. Art. 82 DSGVO. Das Landgericht Köln gab in seinem Urteil vom 28.09.2022, Az. 28 O 21/22, dem Kläger zwar Recht, aber entschied lediglich auf ein Schmerzensgeld von 4.000 Euro.
Versand stellt Verarbeitung personenbezogener Daten dar
Das LG sah in der E-Mail des Verkäufers an den Arbeitgeber des Klägers eine Verarbeitung personenbezogener Daten gem. Art. 4 Nr. 2 DSGVO. Diese Offenlegung des Vertragsverhältnisses war für die Erfüllung des Vertrags hinsichtlich der Finanzierung auch nicht erforderlich und somit gem. Art. 6 Abs. 1 Buchstabe b) DSGVO rechtswidrig.
Das Autohaus muss sich das Verhalten ihres Verkäufers, der den Datenschutzverstoß begangen hat, auch grundsätzlich zurechnen lassen. Eine Möglichkeit, sich für diesen Verstoß zu “entschuldigen” (Exkulpation) gem. Art. 82 DSGVO besteht für das Autohaus als Beklagte nicht, da Art. 82 keine Schädigungsabsicht voraussetze und der E-Mail-Versand vorsätzlich geschah.
Offenlegung des Autokaufs gegenüber Vorgesetzten ist unangebracht
Das Landgericht sah in der E-Mail des Verkäufers an den Vorgesetzten des Klägers eine unangebrachte Reaktion, die für den Kläger mit Scham und mit erheblichen Unannehmlichkeiten verbunden war. Durch die Offenlegung des Autokaufs bei einem Konkurrenzunternehmen könnte sich der Kläger genötigt fühlen den Autokauf zu rechtfertigen. Eine solche Rechtfertigung ist mit einem erheblichen Maß an Scham und Peinlichkeit verbunden, so das Landgericht.
Zwar wurde der hohe psychische Druck des Klägers durch das Landgericht nicht bezweifelt und der Verstoß gegen die Datenschutzgrundverordnung sei auch gravierend, jedoch sei die Zerrüttung des Arbeitsverhältnisses nicht für die Höhe des Schmerzensgeldes entscheidend. Die Zerrüttung sei nicht substantiiert vorgetragen und damit für diesen Sachverhalt unbeachtlich.
Keine höchstpersönlichen Daten, aber Geheimhaltungsinteresse bei dem Kläger
Auch handele es sich bei den offengelegten Daten nicht um solche, die als hochsensibel oder höchstpersönlich einzustufen seien. Dennoch hatte der Kläger ein offensichtliches Geheimhaltungsinteresse an der Offenlegung der Daten. Durch die gesandte E-Mail verliert der Kläger allerdings vollständig die Kontrolle über seine personenbezogenen Daten, auch wenn die Information nur an eine Person geleitet wurde.
Fazit: Schadensersatz und Schmerzensgeld bei Datenschutzverstößen
Nicht jeder Verstoß gegen die Datenschutzgrundverordnung führt automatisch zum Schadensersatz oder Schmerzensgeld. Allerdings sollten Mitarbeiter von Unternehmen, vor allem wenn diese mit personenbezogenen Daten umgehen, an deren Geheimhaltung den Betroffenen viel liegt, mit dem notwendigen Fingerspitzengefühl vorgehen.
Die Sensibilisierung und Aufmerksamkeit bei personenbezogenen Daten, deren Verarbeitung und Weitergabe, muss bei allen Mitarbeitern eines Unternehmens, wenn sie mit solchen Daten in Kontakt kommen und mit diesen tagtäglich arbeiten, immer wieder aktuell gehalten werden. Schließlich haftet das Unternehmen für das Tun ihrer Mitarbeiter und damit für Verstöße gegen den Datenschutz.