Das Landgericht Augsburg (Urt. v. 26.7.2024 - 123 O 4719/23) hat noch einmal klargestellt, dass der bloße Verstoß gegen eine Vorschrift aus der DSGVO noch nicht ausreicht, um einen Anspruch auf Schadensersatz zu begründen.
Hintergrund der Entscheidung
Bei der Beklagten handelt es sich um einen großen Telekommunikationsanbieter, bei dem der Kläger als Verbraucher einen Telefonvertrag abgeschlossen hatte. Die Beklagte hatte nach Abschluss des Vertrages Informationen (Name, Anschrift, Geburtsdatum, Datum des Vertragsbeginns, Vertragsnummer sowie das sogenannte Merkmal SK, also das Servicekonto zum Telekommunikationskonto) über den Kläger an die SCHUFA übermittelt. Eine Einverständniserklärung des Klägers für die Übermittlung hatte die Beklagte nicht.
Der Kläger stellte im Jahr 2023 bei der SCHUFA einen Antrag auf Auskunft und erhielt daraufhin eine Kopie der bei der SCHUFA über den Kläger gespeicherten Daten. Durch diese Auskunftserteilung hat der Kläger Kenntnis von der Übermittlung der Informationen über ihn an die SCHUFA erhalten. Unmittelbar nach der Kenntniserlangung habe sich ein Gefühl des Kontrollverlustes und der großen Sorge, insbesondere auch im Hinblick auf die eigene Bonität beim Kläger eingestellt. Dieses Gefühl sei zudem von der Angst geprägt gewesen, einer unberechtigten Übermittlung an eine Auskunftei wie die SCHUFA ausgesetzt zu sein. Der Kläger sei hierdurch noch nachhaltig beunruhigt. Insbesondere fühle sich der Kläger in der freien Entscheidung im Hinblick auf neue Vertragsabschlüsse behindert. Dies untergrabe dementsprechend seine freie Entfaltungsmöglichkeit bei der weiteren Lebensgestaltung.
Aus diesen Gründen machte der Kläger gegenüber der Beklagten Ansprüche auf Ersatz eines erlittenen immateriellen Schadens sowie auf Unterlassung geltend. Die Beklagte bestritt die behaupteten Schäden und verteidigte die Übermittlung der Informationen an die SCHUFA mit einem berechtigten Interesse.
| Mehr zum Thema Schadensersatz nach der DSGVO auch in der nunmehr zweiten Auflage des Werkes "Privacy Litigation - Datenschutzrechtliche Ansprüche durchsetzen und verteidigen". |
Die Entscheidung des Gerichts
Das Gericht hat die Klage als unbegründet zurückgewiesen. Ein Verstoß gegen die DSGVO sei nicht ersichtlich, weil sich die Beklagte hinsichtlich der Übermittlung der personenbezogenen Daten auf ein berechtigtes Intereses nach Art. 6 Abs. 1 f) DSGVO berufen könne. Hierzu führt das Landgericht Augsburg wörtlich aus:
Das Gericht hat hierbei insbesondere in seine Erwägungen eingestellt, dass die Beklagte hierbei nicht nur eigene wirtschaftliche Interessen verfolgt, sondern durch die Datenübermittlung mittelbar auch Interessen der Verbraucher und somit letztlich auch der Klagepartei selbst gefördert werden. Dies trifft insbesondere zu, soweit die Beklagte die Einmeldung der Daten zum Schutz der Verbraucher vor Identitätsdiebstahl und sonstigen Betrugsstraftaten vornimmt. Ein verständiger Verbraucher hat offenkundig ein erhebliches Interesse daran, dass seine Daten nicht für kriminelle Zwecke missbraucht werden und insbesondere nicht widerrechtlich auf seinen Namen Rechtsgeschäfte abgeschlossen werden. Die Beklagte hat plausibel dargelegt, dass sie die Daten (auch) an die SCHUFA übermittelt, um derartige Fälle, insbesondere in der Konstellation der sogenannten „Waren“- oder „Paketagenten“ zu vermeiden. Es ist gerichtsbekannt, dass die Opfer derartiger Identitätsdiebstahls-Fälle oftmals erhebliche Unannehmlichkeiten erdulden und in nicht unerheblichem Umfang eigene zeitliche und finanzielle Ressourcen aufwenden müssen, um die Folgen solcher Straftaten zu beseitigen. Die Erschwerung solcher krimineller Handlungen liegt daher im wohlverstandenen Interesse nicht nur der Beklagten, sondern auch der Klagepartei und aller übrigen Telefonkunden.
Hiernach fehlte es bereits an einen Verstoß gegen die DSGVO, sodass ein Anspruch auf Schadensersatz nach Art. 82 DSGVO bereits aus diesem Grund ausschied. Gleichwohl stellte das Landgericht Augsburg noch zusätzlich fest, dass der Kläger zudem einen kausalen Schaden nicht darlegen konnte. Zunächst legte das Landgericht Augsburg noch einmal dar, welche Voraussetzungen für einen Anspruch auf Schadensersatz bzw. für das Vorliegen eines Schadens erfüllt sein müssen:
[...] Hinsichtlich eines möglichen künftigen Missbrauchs personenbezogener Daten wird ein immaterieller Schaden aber nur dann zu begründen sein, wenn es sich um einen realen und sicheren emotionalen Schaden handelt und nicht nur um ein Ärgernis oder eine Unannehmlichkeit (vgl. EuGH, Schlussanträge vom 27.04.2023 – C-340/21; OLG Düsseldorf GRUR-RS 2023, 4182). Ein etwaiger Verstoß führt – unabhängig der Frage der Erheblichkeit – jedenfalls nicht per se zu einem Schaden (EUGH Urteil vom 04.05.2023, C-300/21). Ein konkreter Schaden ist im jeweiligen Einzelfall festzustellen ist (LG Bonn, Urteil vom 10.05.2023, Az. 3 O 201/22). Ein tatsächlicher Schaden im Sinne einer physischen oder psychischen Beeinträchtigung (vgl. Schlussanträge des Generalanwalts Giovanni Pitruzella vom 27.04.2022, C-340/21, Rn. 83) liegt aber im vorliegenden Einzelfall gerade nicht vor.
Sodann legte es mit nachvollziehbarer Begründung dar, dass und warum im vorliegenden Fall der klägerische Vortrag gerade nicht auf einen tatsächlich erlittenen Schaden schließen lässt:
Der Vortrag, dass sich unmittelbar nach Erhalt der SCHUFA-Mitteilung ein Gefühl des Kontrollverlusts und der großen Sorge, [...], erfolgte offensichtlich ohne hinreichende Tatsachengrundlage. Die Klagepartei schilderte im Rahmen ihrer informatorischen Anhörung zwar, immer wieder Spam-E-Mails und Spam-SMS zu erhalten und um die eigene Bonität besorgt zu sein. Sie gab jedoch auch an, noch keine direkten Beeinträchtigungen erfahren zu haben. Insbesondere hinsichtlich der Bonität erläuterte sie, dass sie nicht davon ausgehe, dass sich dieser eine SCHUFA-Eintrag allein, der auf Grundlage des Vertrages mit der Beklagten erfolgte, auf die Bonität negativ auswirke, vielmehr gehe sie davon aus, dass negative Auswirkungen eintreten könnten, wenn sie mehrere Verträge abschließe. Sie habe zwischenzeitlich einen weiteren Mobilfunkvertrag abgeschlossen, was reibungslos funktioniert habe.
Hinweise für die Praxis
Das Gericht hat zurecht festgestellt, dass ein vermeintlicher Verstoß gegen die Vorschriften der DSGVO allein noch nicht für einen Anspruch auf Schadensersatz reicht. Anspruchssteller müssen vielmehr konkret zu einem kausal erlittenen Schaden vortragen. Floskelhafte Ausführungen zu einem Kontrollverlust und dem Gefühl der Angst - wie man sie häufig von Klägern liest - müssen mit konkreten Beeinträchtigungen belegt werden. Gelingt dies nicht, fehlt es aber für einen Schadensersatzanspruch aus Art. 82 DSGVO an einer wesentlichen Voraussetzung - dem kausalen Schaden. Dieser ist im Streitfall auch weiterhin vom Kläger nachzuweisen.