Am 14. März 2024 entschied das Landgericht München I in dem Fall 44 O 3464/23 über eine Klage, die auf immateriellen Schadensersatz aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) sowie auf die Feststellung der Haftung für zukünftige materielle Schäden abzielte. Die Entscheidung wirft ein Licht auf die rechtlichen Anforderungen und die Beweislast im Zusammenhang mit Datenschutzverstößen und den daraus resultierenden Schadensersatzansprüchen.
Sachverhalt
Der Kläger hatte gegen die Beklagte, ein Finanzdienstleistungsunternehmen, geklagt. Hintergrund war ein Datenvorfall im Zeitraum von Juli bis Oktober 2020, bei dem Dritte unbefugt auf das Datenarchiv der Beklagten zugriffen. Der Kläger machte geltend, dass ihm durch den Kontrollverlust über seine personenbezogenen Daten ein immaterieller Schaden entstanden sei und forderte Schadensersatz nach Art. 82 DSGVO. Zudem verlangte er die Feststellung, dass die Beklagte für künftige materielle Schäden haftet, die aus dem Datenvorfall resultieren könnten.
Rechtliche Analyse
Immaterieller Schaden
Das Gericht stellte klar, dass für die Zuerkennung eines immateriellen Schadensersatzes nach Art. 82 DSGVO ein über den bloßen Verstoß gegen die DSGVO hinausgehender Schaden erforderlich ist. Der bloße Kontrollverlust über die personenbezogenen Daten reiche nicht aus, um einen immateriellen Schaden zu begründen. Das LG München I folgte hierbei der Rechtsprechung des Europäischen Gerichtshofs (EuGH), der betonte, dass immaterielle Schäden nach der DSGVO unionsautonom auszulegen sind und eine tatsächliche Beeinträchtigung des Klägers vorliegen muss.
Materieller Schaden
Hinsichtlich der zukünftigen materiellen Schäden entschied das Gericht zugunsten des Klägers. Es stellte fest, dass die Möglichkeit eines Schadenseintritts ausreichend ist, um einen Anspruch auf Feststellung der Ersatzpflicht zu begründen. Die Beklagte hatte es versäumt, angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen, um den unbefugten Zugriff zu verhindern. Dadurch bleibt die Möglichkeit eines zukünftigen Schadens bestehen, insbesondere, weil sensible personenbezogene Daten des Klägers weiterhin einem Missbrauchsrisiko ausgesetzt sind.
Fazit
Die Entscheidung des LG München I unterstreicht die strengen Anforderungen an den Nachweis immaterieller Schäden nach der DSGVO und betont die Notwendigkeit konkreter Nachweise für eine Beeinträchtigung. Zugleich verdeutlicht das Urteil, dass Unternehmen umfassende Schutzmaßnahmen implementieren müssen, um den Zugriff auf personenbezogene Daten zu sichern und potenziellen zukünftigen Schäden vorzubeugen. Betroffene sollten sich der Beweislast bewusst sein und entsprechende Vorkehrungen treffen, um ihre Ansprüche erfolgreich durchzusetzen.
- Rückzug aus der Cloud: Kosten, Herausforderungen und rechtliche Aspekte der Re-Migration - 2. November 2024
- Schlag gegen die Plattformen „Flight RCS“ und „Dstat.CC“. - 2. November 2024
- Sophos‘ „Pacific Rim“-Bericht zu chinesischen Cyberangriffsstrategien - 2. November 2024