Datenschutzverstoß und Schadensersatz

Eine aktuelle Entscheidung des LG Mannheim (1 O 93/23 ) macht im Bereich des Datenschutzrechts und der nochmals deutlich, welche Ansprüche aktuell an den immateriellen Schadensersatz zu machen sind.

Sachverhalt

Im Kern ging es um die Frage des immateriellen Schadensersatzes bei einem Verstoß gegen die Datenschutzgrundverordnung (DSGVO). Die Klägerin hatte ein Konto auf einer Social-Media-Plattform erstellt und ihre persönlichen Daten, darunter auch ihre Mobiltelefonnummer, angegeben. Wegen einer Voreinstellung auf der Plattform konnte jeder Nutzer ihr Profil mithilfe der Telefonnummer finden. Unbekannte nutzten diese Funktion aus, um ihre Telefonnummer zu identifizieren und veröffentlichten sie im Internet. Die Klägerin machte daraufhin Schadensersatzansprüche wegen Verstößen gegen verschiedene Artikel der DSGVO geltend.

Rechtliche Analyse

Das Gericht erkannte Verstöße gegen die Artikel 25 und 32 DSGVO, die sich auf die datenschutzfreundliche Voreinstellung und auf technische sowie organisatorische Maßnahmen beziehen. Besonders bemerkenswert ist die Feststellung, dass der Verlust der Unbeschwertheit bei der Nutzung sozialer Medien keinen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellt.

Für die Annahme eines immateriellen Schadens ist vielmehr erforderlich, dass der Betroffene einen konkret feststellbaren Nachteil erlitten hat, der über bloße Unannehmlichkeiten hinausgeht. Und da genügt es dann auch nicht, wenn man prozessual nur irgendwelche Schlagworte bringt:

Dies hat die Beklagte nicht schlüssig getan. Die Beklagte hat sich in ihrem Vortrag darauf beschränkt, Maßnahmen wie Übertragungsgrenzen oder Bot-Erkennung schlagwortartig zu benennen. Die Anforderungen des Art. 32 DSGVO liegen jedoch weit höher. Richtig weist die Beklagte darauf hin, dass ihr ein Entscheidungs- bzw. Ermessensspielraum bei der Wahl der geeigneten technischen und organisatorischen Maßnahmen zugestanden habe.

Gleichwohl muss ein nationales Gericht die komplexe Beurteilung, die der Verantwortliche vorgenommen hat, bewerten können und sich dabei vergewissern können, dass die vom Verantwortlichen gewählten Maßnahmen geeignet sind, ein solches Sicherheitsniveau zu gewährleisten. Es muss eine materielle Prüfung dieser Maßnahmen anhand aller in diesem Artikel genannten Kriterien sowie der Umstände des Einzelfalls und der dem Gericht dafür zur Verfügung stehenden Beweismittel vornehmen.

Eine solche Prüfung erfordert eine konkrete Untersuchung sowohl der Art als auch des Inhalts der vom Verantwortlichen getroffenen Maßnahmen, der Art und Weise, in der diese Maßnahmen angewandt wurden, und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 43).

Ebenso gilt aber auch für die Schutzmaßnahmen, dass man hier nicht pauschal vortragen darf, sondern konkrete Maßnahmen benennen muss. Diese müssen auch dem Schutzbedarf der betroffenen Daten gegenüber angemessen sein! Hierzu führt das Gericht aus:

Gemessen hieran hat die Beklagte nicht schlüssig vorgetragen, dass sie ihr Ermessen pflichtgemäß ausgeübt hat. So hätte es zunächst einer Bewertung des Schutzniveaus der Daten (nach BSI-Grundschutz 200-2: „Schutzbedarfsfeststellung“; ebenso das Standard-Datenschutzmodell der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) bedurft. Jedoch fehlt jeglicher Vortrag der Beklagten zu dem Schutzniveau nicht nur der stets öffentlichen Daten, sondern vor allem der Telefonnummer. Weiter bedarf es einer Betrachtung der Daten in den verschiedenen Verarbeitungsvorgängen, hier also speziell der Kontakt-Import-Funktion (nach BSI-Grundschutz 200-2: „Erfassung der Geschäftsprozesse“; nach Standard-Datenschutzmodell: „Verarbeitungstätigkeit (Geschäftsprozesse)“. Ob die Beklagte die Verarbeitung der Telefonnummer bei diesem Verarbeitungsvorgang überhaupt beachtet hat, ist weder vorgetragen noch ersichtlich.

Ausgehend von dem Schutzniveau der Daten und dem Verarbeitungsvorgang war es erforderlich etwaige Risiken zu identifizieren und zu bewerten (nach BSI-Grundschutz: Risikoanalyse; nach Standard-Datenschutzmodell: Risikobetrachtung). Auch hierzu fehlt konkreter Vortrag. Die Beklagte gibt zwar pauschal an, dass das Risiko von schon immer bestanden habe. Ob und zu welchem Ausmaß die Beklagte sich jedoch gerade für die Kontakt-Import-Funktion der Möglichkeit eines Missbrauchs durch das gegenwärtige Angriffsszenario der sequentiellen Telefonnummernerstellung und -abfrage bewusst war, bleibt offen.

Erst jetzt, also wenn das Schutzniveau der personenbezogenen Daten bestimmt, die beteiligten Verarbeitungsvorgänge (Geschäftsprozesse) analysiert und die einzelnen Risiken diesbezüglich festgestellt und bewertet worden sind, kommt es auf die konkreten technischen und organisatorischen Maßnahmen an, um den jeweiligen Risiken in geeigneter und angemessener Weise zu begegnen (nach BSI-Grundschutz 200-2: „Modellierung“). Entsprechend unterscheidet auch der Europäische Gerichtshof zwischen zwei Schritten: Zum einen sind die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung muss konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen. Zum anderen ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind (EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 42).

Den Ausführungen der Beklagten ist nach alledem schon nicht zu entnehmen, dass sie in dieser strukturierten Weise vorgegangen wäre. Dabei ist organisatorischer ein wesentlicher Bestandteil, um die Sicherheit der Verarbeitung zu gewährleisten (ausführlich zur Methodik: BSI-Grundschutz 200-2 oder auch das Standard-Datenschutzmodell). Die schlagwortartig bezeichneten technisch-organisatorischen Maßnahmen bleiben vor diesem Hintergrund ohne erhebliche Aussagekraft. Irgendwelche Maßnahmen in den Raum zu stellen, ohne auf die weiteren Schritte der notwendigen Gesamtbetrachtung einzugehen, ermöglicht dem Gericht nicht, die ergriffenen Maßnahmen – wie es von ihm verlangt wird (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 45) – im Rahmen von Art. 32 DSGVO beurteilen zu können.

Im Übrigen sind die Maßnahmen zudem so pauschal formuliert, dass sie auch inhaltlich einer Beweisaufnahme nicht zugeführt werden könnten. So wird bspw. schon nicht klar, welche Übertragungsgrenzen die Beklagte zunächst angenommen hatte und auf welcher Grundlage sie diese Festlegung vornahm. Das Gericht hatte die Beklagte in der mündlichen Verhandlung darauf hingewiesen, dass insoweit ihr bisheriger Vortrag daher nicht ausreicht. Weder wurde hierzu ein Schriftsatznachlass beantragt noch ist hierzu weiterer Vortrag geleistet worden.

Folgerungen für Betroffene und Empfehlungen

Dieses Urteil verdeutlicht, dass nicht jeder Datenschutzverstoß automatisch zu einem Anspruch auf Schadensersatz führt. Betroffene müssen einen konkreten immateriellen Schaden (nachvollziehbar) nachweisen:

Eine Auslegung von Art. 82 Abs. 1 DSGVO dahin, dass der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre jedoch nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird. Entsprechend kann diese Befürchtung einer missbräuchlichen Verwendung ihrer personenbezogenen Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen (EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 50 und 83).

Allerdings bedeutet diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (EuGH, Urteil vom 04.05.2023 – C-300/21, Rn. 50; EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 84).

Die Personen, die Schadensersatz nach Art. 82 Abs. 1 DSGVO begehren, müssen also den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten haben (EuGH, Urteil vom 14.12.2023 – C-456/22, Rn. 22).

Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH, Urteil vom 14.12.2023 – C-340/21, Rn. 85). An dieser Verteilung der Darlegungs- und für einen Schaden, ändert die Formulierung des Europäischen Gerichtshofes (Urteil vom 14.12.2023 – C-340/21, Rn. 74) nichts wonach, der Verantwortliche nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist. Dieser Halbsatz steht ersichtlich im Kontext einer Auslegung des Art. 82 Abs. 3 DSGVO.

Damit hebt der Europäische Gerichtshof lediglich, aber immerhin hervor, dass eine punktuelle Entlastung des Verantwortlichen im Rahmen von Art. 82 Abs. 3 DSGVO nicht ausreicht. Vielmehr darf er in „keinerlei Hinsicht“ für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich sein. Der Wortlaut der Formulierung des Europäischen Gerichtshofes setzt dabei voraus, dass durch einen Umstand ein Schaden eingetreten ist, lässt also die hierzu ergangene Rechtsprechung unberührt. Erst wenn durch einen Verstoß ein Schaden eingetreten ist (und dies bewiesen wurde), gelangt man zu der hiermit beantworteten Frage, welche Anforderungen an eine Entlastung nach Art. 82 Abs. 3 DSGVO zu stellen sind.

Es empfiehlt sich in praktischer Hinsicht, die eigenen Privatsphäre-Einstellungen auf sozialen Netzwerken sorgfältig zu prüfen und anzupassen. Unternehmen wiederum sollten die Relevanz von datenschutzfreundlichen Voreinstellungen und effektiven Sicherheitsmaßnahmen zur Risikominimierung erkennen.

Schlussbetrachtung

Das Urteil des LG Mannheim wirft ein Schlaglicht auf die Komplexität des Datenschutzrechts im digitalen Zeitalter und die Bedeutung des individuellen Nachweises bei immateriellen Schäden. Es zeigt deutlich, wie wichtig ein ausgewogenes Verständnis von Datenschutz und Verantwortung sowohl für Nutzer als auch für Plattformbetreiber ist.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.