Die Verletzung einer datenschutzrechtlichen Vorschrift allein reicht nicht aus, um einen Schadensersatzanspruch nach Art. 82 DSGVO zu begründen. Vielmehr bedarf eines konkret verursachten Schadens (OLG Düsseldorf, Beschl. v. 16.02.2021 - Az.: 16 U 269/20).
Im Rahmen einer gerichtlichen Auseinandersetzung hat sich das OLG Düsseldorf zur umstrittenen Frage der Anwendung des DSGVO-Schadensatzes geäußert.
Inhaltlich rügte die Klägerin die Veröffentlichung eines Gutachtens, das über sie in einem familiengerichtlichen Verfahren von der verklagten Gutachterin erstellt worden war. Es enthielt zahlreiche traumatische Kindheitserlebnisse der Klägerin. Die Stellungnahme wurde später von Dritten im Internet veröffentlicht.
Das Gericht vertritt dabei den Standpunkt, dass ein bloßer Verstoß gegen die DSGVO nicht ausreicht, um einen Ausgleichsbetrag zu begründen. Vielmehr müsse ein konkreter Schaden eintreten:
"Art. 82 Abs. 1 DSGVO gewährt einen Anspruch auf Ersatz des Schadens, der wegen eines Verstoßes gegen diese Verordnung entstanden ist.
Damit macht schon der Wortlaut deutlich, dass allein der Verstoß gegen die DSGVO nicht ausreicht, um den Schadensersatzanspruch zu begründen. Vielmehr bedarf es eines dadurch verursachten - materiellen oder immateriellen - Schadens.
Hätte der Verordnungsgeber nur eine an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht gewollt, hätte es nahegelegen, dies - wie namentlich im Luftverkehrsrecht durch Art. 7 Abs. 1 Fluggastrechte-VO (EG) 261/2004 geschehen - durch Pauschalen zu regeln. Dafür, dass der Unionsgesetzgeber den ausdrücklich als solchen bezeichneten Schadensersatzanspruch de facto zu einem privaten Bußgeld für den bloßen Rechtsverstoß ausgestalten wollte, finden sich in der DSGVO keine Anhaltspunkte.
Es lässt sich auch nicht feststellen, dass der Schadensersatz notwendigerweise uferlos sein müsste und damit für alle nur denkbaren Auswirkungen von Datenschutzverstößen Ersatz zu leisten wäre. Vielmehr sind zur Bestimmung des Schadensbegriffes der DSVGO normative, an den Zielen der Verordnung ausgerichtete Erwägungen notwendig (...).
Eine Schadensersatzpflicht besteht nur, wenn der geltend gemachte Schaden nach Art und Entstehungsweise unter den Schutzzweck der verletzten Norm fällt."
Im vorliegenden Fall verneinte das Gerichte diese Voraussetzungen.
Die DSGVO sei hier gar nicht anwendbar, da es nicht um die Frage der Datenverarbeitung gehe, sondern vielmehr um eine Veröffentlichung dieser Informationen. Insofern sei primär das Allgemeine Persönlichkeitsrecht betroffen:
"In Anwendung dieser vom Bundesverfassungsgericht entwickelten Angrenzungslinie erfasst der Anspruch aus Art. 82 DSGVO nach dem Schutzzweck der Norm nur solche Sachverhalte, in denen es um die Art der Informationserlangung geht und der Vorwurf einer intransparenten Datenverarbeitung im Raum steht, es also um das Recht auf informationelle Selbstbestimmung geht.
So liegen die Dinge hier indes nicht.
Die Klägerin wendet sich nicht gegen eine Pflicht zur Preisgabe von Daten oder gegen eine intransparente Nutzung ihrer Daten, sondern gegen die im Sachverständigengutachten enthaltene Darstellung. Vielmehr beanstandet sie das Ergebnis eines Kommunikationsprozesse, nämlich die Veröffentlichung und Verbreitung von Inhalten aus dem Sachverständigengutachten.
Dass auch hierbei die Verbreitungsmöglichkeiten durch das Internet und soziale Medien für das Gewicht der Belastung von entscheidender Bedeutung sind und Berücksichtigung verlangen, ändert daran nichts (...).
Betroffen ist vorliegend der Schutzbereich des allgemeinen Persönlichkeitsrechts mit der Folge, dass die Anwendung des Art. 82 DSGVO nach dem Schutzzweck der Norm ausscheidet. Der Senat verkennt nicht, dass es im Rahmen der äußerungsrechtlichen Ausprägung des allgemeinen Persönlichkeitsrechts auch auf die Art der Informationserlangung ankommen kann.
Jedoch hat diese hier ihre Bedeutung nur als Vorfrage für die Beurteilung des weiteren Umgangs mit einer bestimmten Äußerung und des damit in die Öffentlichkeit gestellten Bildes einer Person selbst (...). Die nach den Maßstäben der DSGVO zu beurteilende Frage, ob die die Klägerin betreffenden Daten rechtswidrig erlangt worden waren, ist danach bei der Abwägung im Rahmen des allgemeinen Persönlichkeitsrechts zu berücksichtigen."
Auch fehle es an einer Verantwortlichkeit der verklagten Gutachterin generell. Denn diese habe lediglich das Gutachten für das Gericht erstellt. Mit der späteren Veröffentlichung habe sie rein gar nichts zu tun:
"Die Beklagte hat das Gutachten - wie dargetan - entsprechend den gesetzlichen Vorgaben - an das Gericht weitergeleitet. Damit endete ihre Verantwortlichkeit.
Entgegen der von der Klägerin vertretenen Auffassung rechtfertigt sich eine abweichende Beurteilung auch nicht unter dem Gesichtspunkt der Verletzung von Prüfpflichten. Selbst wenn die Beklagte begründete Hinweise darauf hatte, dass die Kindesmutter aufgrund ihrer gestörten Impulskontrolle dazu neigt, auch im Internet „Rufmord“ zu begehen, so ändert dies nichts daran, dass sie mit der Erstellung des Gutachtens und Übersendung an das Gericht - wie dargetan - eine rechtliche Verpflichtung erfüllt hat.
Insbesondere war es erforderlich, dass die Beklagte in ihrem Gutachten vom 4. September 2018 sowohl den Klarnamen der Klägerin genannt als auch die von ihr geschilderten Missbrauchserfahrungen dargestellt hatte.
Zu betonen ist, dass die Beklagte auch rein tatsächlich gar nicht in der Lage war, eine missbräuchliche Verwendung ihres Gutachtens in dem Sinne, dass darin enthaltene Angaben Dritten über soziale Netzwerke zugänglich gemacht werden, zu verhindern. Schon aus diesem Grund kommt eine Haftung der Beklagten nicht in Betracht. Weil der Beklagten nach den Umständen des Einzelfalls eine Verhinderung der Verletzung nicht möglich war, zeichnet sie dafür auch verantwortlich."
Die Klägerin ist trotz des Hinweisbeschlusses bei ihrem Standpunkt geblieben, sodass das OLG Düsseldorf das Verfahren mit Beschl. v. 16.03.2021 - Az.: 16 U 269/20 endgültig beendete.