Das AG Frankfurt a.M. hat mit Urteil vom 10.07.2020 (Az.: 385 C 155/19 (70)) entschieden, dass Schadensersatzansprüche wegen DS-GVO-Verstößen ernsthafte Beeinträchtigungen voraussetzen. Bagatellverstöße ohne solche oder bloß individuell empfundene Unannehmlichkeiten reichten nicht aus. Damit grenzt sich das AG Frankfurt a.M. von anderen Gerichten ab, die zum Teil recht weitgehende Ansichten in Sachen Schadensersatz und DS-GVO vertreten haben.
Hintergrund
Der Kläger hatte in den vergangenen Jahren mehrfach in Hotels der beklagten Betreiberin, einer Franchisenehmerin einer größeren Hotelkette, übernachtet. In deren Reservierungssystem wurden dabei diverse Daten des Klägers gespeichert, neben Name und Anschrift waren auch Kreditkarten- und Personalausweisdaten betroffen sowie Daten bezüglich Aufenthalt, Minibar und Snacks.
Als der Kläger aus der Presse erfuhr, dass durch ein Datenleck bei der Beklagten offenbar personenbezogene Daten von Hotelgästen an Dritte gelangt sein könnten, verlangte er von der Beklagten Auskunft hierüber. Nachdem die Auskunft nach seiner Ansicht verspätet und unvollständig erfolgte, klagte er und verlangte Schadensersatz in Höhe von 1500€ plus Zinsen. Seinen immateriellen Schaden begründete er mit einem „Gefühl des Unbehagens“, dass seine persönlichen Daten in Zukunft von Dritten genutzt werden könnten. Zudem sei unklar, welche seiner Daten überhaupt abhanden gekommen oder weiterverwendet worden seien.
Die Beklagte rügte neben ihrer mangelnden Verantwortlichkeit für Datenverarbeitungen als Franchisenehmerin das Fehlen einer konkreten Beeinträchtigung. Daneben habe sie die Anfragen des Klägers rechtzeitig beantwortet.
Entscheidung
Das AG erachtete die Beklagte zunächst als Verantwortliche. Zudem habe eindeutig ein Verstoß gegen Art. 5 Abs. 1 lit. f) DS-GVO vorgelegen, der vorschreibt, dass Daten in einer Weise zu verarbeiten sind, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Die Mitteilung der Beklagten an den Kläger aufgrund dessen Auskunftsersuchens sei zwar nicht unverzüglich erfolgt, jedoch noch ausreichend gewesen, da sie die einmonatige Frist hatte verlängern lassen und insgesamt nach ca. 6 Wochen Auskunft erteilt habe. Das sei angesichts ihrer Mitteilung an die Öffentlichkeit und der hohen Anzahl an individuellen Betroffenen nicht unangemessen lang.
Für einen Schadensersatzanspruch fehle es an einem kausalen Schaden. Ein alleiniger Verstoß gegen Art. 5 Abs. 1 lit. f) DS-GVO sei nicht ausreichend. Immaterielle Schäden seien zwar grundsätzlich ersatzfähig, es müsse aber objektiv eine Beeinträchtigung nachvollziehbar und feststellbar sein. Diese müsse nicht zwingend schwerwiegend, aber jedenfalls spürbar sein. Individuell empfundene Unannehmlichkeiten, ein Gefühl des Unbehagens oder Bagatellverstöße ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person reichten dafür nicht aus. Es bedürfe etwa einer öffentlichen Bloßstellung. Solche gesellschaftlichen oder persönlichen Nachteile habe der Kläger jedoch nicht dargelegt. Die bloße Tatsache der Übernachtung, des konsumierten Inhalts der Minibar oder der genossenen Snacks seien hierzu nicht geeignet. Ein konkreter Schaden läge mithin nicht vor.
Die Darlegungs- und Beweislast für eine solche Beeinträchtigung läge beim Kläger, welcher er im konkreten Fall jedoch nicht genügt habe. Eine Beweiserleichterung aufgrund des in Art. 5 Abs. 2, Art. 24 DS-GVO verankerten Rechenschaftsprinzips käme lediglich beim Nachweis der Kausalität zwischen der Verletzung des Datenschutzes und dem Schaden in Betracht.
Anmerkung
Das AG Frankfurt a.M. hat hier eine Entscheidung mit Augenmaß getroffen. Nicht jedem nur eventuell Betroffenen eines Datenschutzverstoßes und auch nicht jedem, der sich um seine Daten sorgt, sollte ein Anspruch auf Schadensersatz zustehen. Kritisch hätte im Zusammenhang mit dem möglichen Abfluss von Daten zwar die Kenntnis Dritter über Kreditkarten- und Personalausweisdaten werden können. Da eine solche aber nicht nachweislich erfolgte, erscheint die Entscheidung folgerichtig.
Das Gericht grenzt sich damit von anderen, deutlich strengeren Entscheidungen ab, die in den letzten Monaten gefallen sind. Beispielsweise statuierte das ArbG Düsseldorf (Az. 9 Ca 6557/18), dass ein immaterieller Schaden nicht bloß in den „auf der Hand liegenden Fällen“ vorläge, sondern auch dann, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren. Auch für das Veröffentlichen eines Mitarbeiterfotos auf der unternehmenseigenen Facebook-Seite nach Einwilligung in die identische Veröffentlichung durch einen Aushang und auf der Unternehmenshomepage nahm das ArbG Lübeck (Az. 1 Ca 538/19) einen Schadensersatzanspruch an. Von einer ernsthaften Beeinträchtigung des Ansehens der betroffenen Person dürfte dabei wohl nicht auszugehen sein – gerade mit Blick auf die Einwilligung in Bezug auf die Homepagedarstellung.
