Eine Bank, die unberechtigt Daten des Schuldners an die SCHUFA übermittelt, muss für diese unberechtigte Datenübermittlung einen DSGVO-Schadensersatz iHv. 1.000,- EUR bezahlen (LG Lüneburg, Urt. v. 14.07.2020 – Az.: 9 O 145/19).
Der Kläger unterhielt ein Bankkonto bei der verklagten Bank. Seitens des Kreditinstituts kam es zu einer unbegründeten Eilmeldung an die SCHUFA.
Als der Kläger hiervon erfuhr, begehrte er Schadensersatz iHv. mindestens 10.000,- EUR nach Art. 82 DSGVO.
Das Gericht sprach ihm jedoch "nur" 1.000,- EUR zu.
Anders als die bislang überwiegend veröffentlichte Rechtsprechung vertritt das Gericht den Standpunkt, dass es keines erheblichen Eingriffs bedürfe, um ein Ausgleichsbegehren zu begründen. Auch unerhebliche Verletzungen führten zu einer Kompensation:
"Dafür bedarf es entgegen der Ansicht der Beklagten nicht die in der bisherigen deutschen Rechtsprechung für Schmerzensgeld geforderte Voraussetzung einer schwerwiegenden Persönlichkeitsverletzung, welche sich nicht mit Art. 82 DS-GVO verträgt. Sie ist weder vorgesehen noch von dessen Ziel und Entstehungsgeschichte gedeckt (...). Der Anspruch ist hiervon grundsätzlich unabhängig.
Für diese Ansicht spricht auch der Erwägungsgrund 85 S. 1 der DS-GVO. Danach kann eine Verletzung des Schutzes personenbezogener Daten einen immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa den Verlust der Kontrolle über ihre personenbezogenen Daten. Für eine weite Auslegung des Schadensbegriffs spricht zudem der Erwägungsgrund 146 S. 6 der DS-GVO, wonach der Betroffene einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten soll.
Die schwerwiegende Persönlichkeitsverletzung könnte vor diesem Hintergrund auch nicht als untere Grenze einer Schmerzensgeldhöhe wieder eingelesen werden. Vielmehr ist der immaterielle Schaden umfassend zu ersetzen. Eine schwerwiegende Persönlichkeitsverletzung würde jedoch regelmäßig zu einem hohen Schmerzensgeld führen (...). Insbesondere bei der Zugänglichmachung von Daten einer betroffenen Person für Dritte ohne ihr Einverständnis, wird ein Schadensersatzanspruch auch einen immateriellen Schaden abzudecken haben, der diese öffentliche „Bloßstellung“ kompensiert (...)."
Hinsichtlich der konkreten Höhe äußert sich das Gericht wie folgt:
"Der immaterielle Schaden des Klägers liegt hier in dem Verlust der Kontrolle über seine personenbezogenen Daten. Durch die Übermittlung der Daten an die Schufa hat die Beklagte personenbezogene Daten an einen unbeteiligten und unberechtigten Dritten weitergegeben. Dadurch wird der Kläger bloß gestellt und es droht zudem mittelbar eine potenzielle Stigmatisierung, die durch einen Eintrag bei der Schufa entstehen kann (...).
Dem Kläger ist ein Schadensersatzanspruch in Höhe von 1.000 Euro für eine rechtwidrigen Einmeldung eines Schuldsaldos von 1.020 Euro für eine Dauer von zwei Wochen zu; für einen höheren Anspruch fehlt es an konkreten tatsächlichen Anknüpfungstatsachen. Für die Bemessung der Schadenshöhe können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden bzw. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten.
Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt (...). Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren."
Und weiter:
"Bei den Daten handelt es sich um schützenswerte und sensible Daten des Klägers.
Sie können maßgeblichen negativen Einfluss auf die Teilnahme am wirtschaftlichen Verkehr haben, indem Kredite versagt oder Verträgen nicht eingegangen werden. Dadurch können mittelbar Grundrechte wir die Berufsfreiheit und die allgemeine Handlungsfreiheit beeinträchtigt werden. Im konkreten Fall ist andererseits jedoch zu berücksichtigen, dass die Einmeldung nur zwei Wochen bestand (18.09.-01.10.2018) und danach als erledigt erklärt wurde und sich „nur“ auf einen Betrag von 1.020 Euro bezog.
Die Meldung eines Betrages in einer anderen Größenordnung wäre in der Beurteilung einer möglichen Auswirkung und Stigmatisierung höher zu beurteilen gewesen. Zudem hat der Kläger nicht dargelegt, dass die Einmeldung tatsächliche negative Auswirkungen, wie die Verschlechterung des Scorewerts oder die Beeinträchtigung der Kreditwürdigkeit, auf ihn hatte, was bei einer zweiwöchigen Meldung wohl auch nicht anzunehmen sein dürfte. So hat der Kläger nicht z.B. behauptet, dass wegen der Einmeldung ein Darlehensantrag, eine andere Finanzierung oder ein Kauf abgelehnt worden waren.
Vor diesem Hintergrund siedelt das Gericht die Beeinträchtigung des Klägers in einem unteren Bereich an, für den es ein Schmerzensgeld von 1.000 Euro für angemessen hält."
Anmerkungen von RA Dr. Bahr:
Mit anderen Worten: Nach Meinung des LG Lüneburg gibt es bei DSGVO-Verletzungen keine Bagatellfälle. Vielmehr führten Verstöße gegen das Datenschutzrecht stets zu immateriellen Schadensersatzansprüchen.
Die ganz überwiegende Ansicht der bislang veröffentlichten Rechtsprechung teilt diesen Standpunkt nicht. Im Gegenteil: Die Gericht bejahten bislang nur in erheblichen Fällen einen Anspruch.
Die Entscheidung ist rechtskräftig, sodass sich das OLG im Rahmen einer Berufung nicht dazu äußern wird.