Eine Entscheidung des Landgerichts Mannheim (LG Mannheim, Urteil vom 14. April 2023, Az. 1 O 99/23) bietet eine detaillierte Analyse zu den Anforderungen an technische und organisatorische Maßnahmen nach Art. 32 Abs. 1 DSGVO, die Erfassung immaterieller Schäden im Sinne von Art. 82 Abs. 1 DSGVO und die Bemessung der Höhe des Ausgleichs für solche Schäden. Die Entscheidung fasst die aktuelle Rechtslage ganz gut zusammen und wird daher, mit Hinweisen auf die verschiedenen OLG-Entscheidungen, hier aufgenommen.
Hinweis: In unserer Kanzlei werden solche Fälle von Verbrauchern nicht übernommen!
Sachverhalt der Entscheidung
In dem Fall vor dem LG Mannheim (Az. 1 O 99/23) ging es um die unbefugte Offenlegung persönlicher Daten auf einer Social-Media-Plattform. Ein Unternehmen hatte die personenbezogenen Daten der Klägerin, die sich auf einer Social-Media-Plattform registriert hatte, nicht ausreichend geschützt. Diese Daten, die sensible Informationen wie Namen, Adressen und Kommunikationsinhalte umfassten, wurden aufgrund unzureichender technischer und organisatorischer Maßnahmen offengelegt. Die Klägerin erlitt dadurch nach eigenem Vortrag erhebliche emotionale Belastungen und verlangte Schadensersatz für den immateriellen Schaden, der ihr durch diese Datenschutzverletzung entstanden war.
Hinweis: Es geht um ein Daten-Scraping in erheblichem Ausmaß, was zu einer Masse an Klagen geführt hat. Daher gibt es umfangreiche Rechtsprechung dazu, ich konzentriere mich hier darauf, einzelne Entscheidungen – speziell von OLG – zu sammeln und einen Überblick zu geben.
Anforderungen an technische und organisatorische Maßnahmen nach Art. 32 Abs. 1 DSGVO
Art. 32 Abs. 1 DSGVO fordert von Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen gewählt werden. Zu den Maßnahmen gehören unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten sowie die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf Dauer sicherzustellen.
Im vorliegenden Fall befasste sich das Gericht mit der Frage, ob die von dem beklagten Unternehmen implementierten Maßnahmen diesen Anforderungen genügten. Das Gericht stellte fest, dass die bloße Verwendung eines Passwortschutzes und die Beschränkung des Zugriffs auf bestimmte Mitarbeiter nicht ausreichten, um den gesetzlichen Anforderungen zu entsprechen. Es wurde betont, dass insbesondere in Branchen mit hohem Risiko für Datenschutzverletzungen weitergehende Maßnahmen, wie eine umfassende Verschlüsselung und regelmäßige Sicherheitsüberprüfungen, erforderlich sind.
Immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO
Nach Art. 82 Abs. 1 DSGVO hat jede Person, die wegen eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Schadensersatz vom Verantwortlichen. Das LG Mannheim stellte klar, dass der bloße Verlust von Daten oder die unbefugte Offenlegung personenbezogener Daten einen immateriellen Schaden darstellen kann, der zu kompensieren ist. Dabei kommt es nicht auf einen konkreten Nachweis eines finanziellen Schadens an, sondern darauf, dass der Betroffene durch die Datenschutzverletzung einen Nachteil in Form von Stress, Angst oder anderen negativen emotionalen Auswirkungen erlitten hat.
Im vorliegenden Fall argumentierte die Klägerin, dass die unbefugte Offenlegung ihrer persönlichen Daten zu erheblichen emotionalen Belastungen geführt habe. Das Gericht erkannte diese Argumentation an und stellte fest, dass auch immaterielle Schäden, die aus der Besorgnis über den Missbrauch offengelegter Daten resultieren, unter Art. 82 Abs. 1 DSGVO fallen können.
Bemessung der Höhe des Ausgleichs für immaterielle Schäden gem. Art. 82 Abs. 1 DSGVO
Die Bemessung der Höhe des immateriellen Schadensersatzes stellt eine besondere Herausforderung dar. Das LG Mannheim orientierte sich bei der Festlegung der Schadenshöhe an der Schwere der Datenschutzverletzung und den spezifischen Umständen des Einzelfalls. Dabei berücksichtigte das Gericht Faktoren wie die Sensibilität der offengelegten Daten, die Dauer und das Ausmaß der Verletzung sowie die subjektive Betroffenheit der Klägerin.
In der Entscheidung wurde hervorgehoben, dass es keine festen Beträge für immaterielle Schäden gibt und dass jeder Fall individuell bewertet werden muss. Das Gericht sprach der Klägerin einen Schadensersatz zu, der als angemessene Kompensation für die erlittenen emotionalen Belastungen und die Sorge um den möglichen Missbrauch ihrer Daten betrachtet wurde.
Ausblick
Die Entscheidung des LG Mannheim setzt wichtige Akzente in der Auslegung und Anwendung der DSGVO, insbesondere im Hinblick auf die Anforderungen an technische und organisatorische Maßnahmen, die Anerkennung immaterieller Schäden und die Bemessung von Schadensersatz. Da hier die Linien der Oberlandesgerichte übernommen werden, kann die Entscheidung zur Orientierung dienen.
Unternehmen müssen sicherstellen, dass ihre Datenschutzmaßnahmen nicht nur technisch auf dem neuesten Stand sind, sondern auch organisatorisch umfassend umgesetzt werden. Zudem zeigt die Entscheidung, dass immaterielle Schäden ernst genommen werden und angemessen kompensiert werden müssen. Diese Entwicklungen unterstreichen die Notwendigkeit eines hohen Schutzniveaus für personenbezogene Daten und die ernsthafte Auseinandersetzung mit den Rechten der Betroffenen.
- Captagon im deutschen Strafrecht: Ein Überblick - 8. Oktober 2024
- Perfctl: Neue, heimtückische Malware, die Millionen von Linux-Servern bedroht - 7. Oktober 2024
- Datenschutzverstöße durch E-Mail-Weiterleitung: Haftungsrisiken für Geschäftsführer - 6. Oktober 2024