DSGVO Schadensersatz von 4.000,- € sprach das Landgericht Köln einem Kläger wegen eines erlittenen immateriellen Schadens zu. Grund war ein DSGVO-Verstoß, der in einer unzulässigen Datenweitergabe an Dritte begründet ist (LG Köln, Urteil vom 28.09.2022, Az.: O 21/22).
Im vorliegenden Fall wurden bei einer Vertragsabwicklung die personenbezogenen Daten des Betroffenen unzulässig an dessen Arbeitgeber übermittelt.
Schmerzensgeld wegen unzulässiger Datenweitergabe
Die beklagte Partei hatte eine E-Mail mit Vertragsdaten des Betroffenen an dessen unbeteiligten Vorgesetzten weitergeleitet. Dies ist ein gravierender Datenschutzverstoß. Das Landgericht Köln sprach dem Kläger daher einen DSGVO Schadensersatz von 4.000,- € (landläufig „Schmerzensgeld“) wegen eines Verstoßes gegen Art. 6 Absatz 1 DSGVO zu.
Die unberechtigte Weitergabe von Vertragsdaten war im konkreten Fall ein gravierender DSGVO-Verstoß, der gleichzeitig einen erheblichen und somit ersatzpflichtigen Schaden beim Betroffenen ausgelöst hatte. Verantwortlich ist dafür das Unternehmen, in dessen Auftrag der betreffende Verkäufer gehandelt hatte.
Verstoß gegen die Bestimmungen der DSGVO führt zu DSGVO Schadensersatz
Der Kläger kaufte beim beklagten Unternehmen einen Pkw. Dieses Unternehmen handelt mit verschiedenen Produkten, neben Gebrauchtwagen unter anderem auch mit Bankserviceleistungen (Finanzierungen). Er tritt dabei als Konkurrent des Unternehmens auf, bei dem der Kläger beschäftigt ist.
Der Kläger wünschte die Kommunikationsabwicklung über sein dienstliches E-Mail-Postfach. Der beklagte Verkäufer forderte über dieses Postfach Unterlagen für die Finanzierung an. Da der Kläger zwischenzeitlich im Urlaub war und deshalb nicht schnell genug auf die Mail reagieren konnte, kontaktierte der beklagte Verkäufer den Vorgesetzten des Klägers per E-Mail. Dieser sollte bezüglich der Unterlagen beim Betroffenen nachfassen und auch auf die Vertragserfüllung einwirken.
Dadurch entstanden für den Kläger erhebliche Unannehmlichkeiten, die vor allem auf der Konkurrenzsituation zwischen seinem Arbeitgeber und dem verkaufenden Unternehmen basierten.
In dem Verfahren verlangte der Betroffene vom Verkäufer DSGVO Schadensersatz, dessen Höhe er mit mindestens 100.000,- € bezifferte.
DSGVO Schadensersatz
Das Landgericht Köln folgte der Auffassung des Klägers, dass es sich bei der Datenweitergabe an seinen Vorgesetzten um einen gravierenden Datenschutzverstoß gehandelt hatte. Daraus entsteht ein immaterieller Anspruch auf Schadensersatz nach Art. 6 und 82 DSGVO.
Der Verkäufer hatte in seiner Mail personenbezogene Daten seines Kunden an eine dritte Partei übermittelt, die auf diese speziellen Daten (Verkaufsabwicklung, Finanzdaten des Betroffenen) kein Anrecht hat und diese nicht einsehen sollte.
Es handelt sich um verarbeitete Daten des Verkäufers, die laut DSGVO schützenswert sind und nicht auf diese Weise verbreitet werden dürfen. Die Übermittlung an die dritte Partei (Arbeitgeber des Klägers) war darüber hinaus nicht für die Vertragserfüllung erforderlich. Das Unternehmen des Klägers hatte mit seinen privaten Kaufvertrag nichts zu tun.
Dass es sich beim verkaufenden Unternehmen und dem Arbeitgeber des Klägers um zwei konkurrierende Firmen handelt, werteten die Richter als besonders belastenden Umstand für den Kläger, der dem Verkäufer auch bewusst sein musste. Aus diesen Umständen ergibt sich in der Tat ein immaterieller Anspruch auf DSGVO Schadensersatz, den die Kölner Richter allerdings „nur“ mit 4.000,- € bezifferten, womit sie weit unter der Forderung des Klägers blieben.
