Übersendet eine Bank Kontoabschlüsse an einen Dritten und übermittelt der SCHUFA eine fehlerhafte Wohnadresse, hat der Betroffene nach Art. 82 DSGVO einen Schadensersatzanspruch iHv. 500,- EUR (OLG Frankfurt a.M., Urt. v. 14.04.2022 - Az.: 3 U 21/20).
Der Kläger war Kunde bei der verklagten Bank. Diese übersandte fehlerhaft an einen Dritten Kontoabschlüsse des klägerischen Kontos. Gleichzeitig meldete das Finanzinstitut der SCHUFA die Adresse des Dritten als "frühere Wohnung".
Wegen beider Umstände verlangte der Gläubiger einen Schadensersatz von mindestens 5.000,- EUR.
Das OLG Frankfurt a.M. sprach ihm lediglich eine Summe von 500,- EUR zu.
"Der Senat ist aufgrund der nachfolgenden Erwägung zur Überzeugung gelangt, dass dem Kläger zwar - von den vorgerichtlichen Anwaltskosten abgesehen - kein materieller Schaden, aber ein gemäß Art. 82 DSGVO ersatzfähiger immaterieller Schaden entstanden ist. Es ergibt sich bereits aus dem Wortlaut von Art. 82 Abs. 1 DSGVO, dass ein Anspruch auf Schadensersatz nur besteht, wenn ein materieller oder immaterieller Schaden entstanden ist.
Der Schaden muss erlitten sein, d. h. entstanden und nicht nur befürchtet werden (...). Dies führt hier aber nicht dazu, dass der Senat einen vom Kläger erlittenen Schaden nicht feststellen könnte, auch wenn dieser im Wesentlichen „immaterieller“ Art ist.
Danach liegt beim Kläger eine spürbare Beeinträchtigung seines durch die Datenschutzgrundverordnung geschützten Rechts an den eigenen personenbezogenen Daten durch das Zusammenspiel der folgenden Faktoren vor: (i) Weiterleitung des Kontoabschlusses an den Dritten, (ii) begründete Befürchtung des Klägers, dass es angesichts des Ende Januar/Anfang Februar 2019 im Online-Zugang des Klägers eingestellten Kontoauszugs, der die Adresse des Dritten (...) auswies, wieder zu einer Datenpanne gekommen sein könnte und (3) Meldung einer unzutreffenden „früheren Adresse“ zum SCHUFA-Profil des Klägers (...)."
Hinsichtlich der Höhe führt das Gericht aus:
"Nach alledem ist im vorliegenden Fall die Gewährung eines Schmerzensgeldes in Höhe von 500,00 € ausreichend und angemessen.
Zwar ist, wie oben ausgeführt, ein immaterieller Schaden eingetreten. Der Schmerzensgeldanspruch ist aber angesichts dessen, dass der eingetretene Schaden am unteren Rand möglicher Beeinträchtigungen des Persönlichkeitsrechts des Klägers und seiner Rechte aus Art. 6 DSGVO anzusiedeln ist, grundsätzlich nicht sehr hoch zu bemessen.
Die vom Kläger nach außen gedrungenen personenbezogenen Daten betreffen lediglich seine Kontonummer, einen Kontostand aus dem Jahr 2018 sowie Abschlussposten (Sollzinsen, Kosten AktivKonto, Porto) in Höhe von insgesamt 29,28 € und den Umstand, dass er im dritten Quartal einen (Dispositions-)Kredit zu 10,9% in Anspruch genommen hatte. Auch ist nur bekannt, dass lediglich zwei Personen hiervon entgegen Art. 6 DSGVO Kenntnis erlangt haben.
Bei der Bemessung des Schmerzensgeldes ist weiter zu berücksichtigen, dass der Kläger zwar Anfang 2019 Einsicht in einen weiteren an den Dritten (...) adressierten Kontoauszug hatte, er aber hinsichtlich seiner Daten lediglich befürchtet hat, dass der Dritte (abermals) Einsicht hatte.
Indes ist zu Lasten der Beklagten zu werten, dass dieser Vorfall sich zu einem Zeitpunkt ereignete, zu dem die ehemalige Beklagte zu 2) über die fehlerhafte Migration der Datensätze informiert war und dem Kläger mitgeteilt hatte, dass es sich um einen einmaligen Vorfall gehandelt habe. Weiter ist zu werten, dass zwar bis zur Löschung eine falsche „frühere Adresse“ des Klägers bei der SCHUFA hinterlegt war, aber nicht ersichtlich ist, dass sich dieser Umstand negativ auf seine Bonität oder seinen „Score“ ausgewirkt hat. Dass die Bonitätsauskunft unter „1. Kreditkarte“ nicht den Kläger betraf, hat er selbst nicht vorgetragen. Eine im Rahmen der Bemessung des Schadensersatzes zu berücksichtige Abschreckungswirkung wird im Übrigen in diesem Fall bereits durch den Umstand bewirkt, dass ein Schmerzensgeld zugesprochen wird."