Abtretung von Ansprüchen auf Schadensersatz und Schmerzensgeld: Das LG Essen hat innerhalb seines Urteils vom 23.9.2021 (Az.: O 190/21) zu der Frage Stellung genommen, ob Schadensersatzansprüche nach Art. 82 DSGVO abtretbar sind.
Gegenstand des Verfahrens: Schadensersatz und Schmerzensgeld nach Art. 82 DSGVO
In dem Verfahren ging es vornehmlich um Schadensersatzansprüche nach Art. 82 DSGVO. Die Klage richtete sich gegen ein Kreditinstitut, mit dem der Kläger Gespräche über eine Immobilienfinanzierung führte. Im Rahmen dessen übermittelte sowohl der Kläger als auch dessen Ehefrau diverse Dokumente, um die Liquidität zu begründen und ein entsprechendes Angebot der Bank zu erhalten.
In diesem Zusammenhang übermittelten der Kläger und seine Ehefrau einen USB-Stick mit sensiblen Daten über die Vermögensverhältnisse an das Kreditinstitut. Der USB-Stick war dabei weder verschlüsselt noch in sonstiger Weise gesichert.
Ein Vertragsverhältnis kam schließlich nicht zu Stande, sodass die Bank den Stick an den Kläger und dessen Ehefrau per Briefpost zurücksendete. Der Stick kam – nach den Behauptungen des Klägers – allerdings nicht an. Erhalten habe dieser lediglich einen leeren Briefumschlag mit einer Öffnung an der Seite.
Der Kläger und dessen Ehefrau waren aufgrund dessen dahingehend besorgt, dass der USB-Stick samt der darauf befindlichen Daten in die Hände Dritter gelangt ist. Aufgrund dessen nahmen Sie die Bank schließlich auf Schadensersatz nach Art. 82 DSGVO in Anspruch.
Abtretung von Ansprüchen nach Art. 82 DSGVO
Die Ehefrau des Klägers trat ihre aus Art. 82 DSGVO behaupteten Ansprüche vor der Einleitung des gerichtlichen Verfahrens an diesen ab. Der Kläger nahm die Abtretung schließlich an und führte das Verfahren allein in seinem Namen, unter anderem auch aus abgetretenem Recht.
Sowohl der Kläger als auch dessen Ehefrau gingen davon aus, dass jeder Partei aufgrund des – wie behauptet – abhanden gekommenen USB-Sticks ein Anspruch auf Schmerzensgeld in Höhe von 15.000,- € zusteht. Klageweise beantragte der Kläger demnach, das Kreditinstitut zu verurteilen, einen Schadensersatz von mindestens 30.000,- € an ihn zu zahlen.
Das Kreditinstitut wandte sich gegen die Inanspruchnahme und brachte u.a. den Einwand hervor, dass es sich bei dem Schmerzensgeld um einen höchstpersönlichen Anspruch handele, der nicht abgetreten werden könne.
Das LG Essen kam zu dem Ergebnis, dass eine Abtretung der Ansprüche aus Art. 82 DSGVO sehr wohl möglich ist.
Nach der Vorschrift des § 298 BGB ist grundsätzlich jede Forderung abtretbar. Dies gilt insbesondere auch für Schadensersatzansprüche. Eine Abtretung kommt lediglich dann nicht in Betracht, sofern ein Abtretungsverbot nach den Vorschriften der §§ 399, 400 besteht. Im vorliegenden Fall gab es dafür allerdings keinerlei Anhaltspunkte, sodass die Abtretung als wirksam eingeordnet wurde.
Das Gericht empfand die Abtretung auch als hinreichend bestimmt. Aus dieser ging hervor, dass Gegenstand eine Schadensersatzforderung aus einer datenschutzrechtlichen Verletzungshandlung gegenüber der Bank ist. Auch die Höhe war insofern definiert, als dass ausgeführt wurde, dass diese durch ein Gericht festzusetzen ist. Zudem war auch der Grund (Verlust des USB-Sticks) beschrieben.
Im Ergebnis steht demnach fest, dass Ansprüche auf Schadensersatz nach Art. 82 DSGVO abgetreten werden können.
Weiterer Verfahrensverlauf
Trotz der befürworteten Aktivlegitimation des Klägers hinsichtlich der Schadensersatzsprüche seiner Ehefrau wies das LG Essen die Klage im Ergebnis ab.
Das Gericht ging davon aus, dass ein Verstoß gegen Art. 33 DSGVO vorgelegen hat, da eine Meldung des Vorfalls gegen über der Aufsichtsbehörde nicht innerhalb der gesetzlich vorgeschriebenen Frist erfolgt ist. Auch ein Verstoß gegen Art. 34 Abs. 2 DSGVO bestätigte das Gericht, wohingegen es Verstöße gegen Art. 24, 25 Abs. 1, 32 DSGVO anlehnte.
Das gerichtliche Vorgehen scheiterte allerdings nicht an der bestehenden Rechtsverletzung sondern vielmehr an der fehlenden Konkretisierung der Schadensersatzansprüche des Klägers.
Das Gericht führt insbesondere aus:
Allein die – etwaige – Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (vgl. LG Hamburg, Urteil vom 4.9.220, 324 S 9/19). Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Anderseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (LG Landshut, Urteil vom 6.11.2020, 51 O 513/20).
LG Essen, Urteil vom 23.9.2021, 6 O 190/21
In dem Verfahren trug der Kläger lediglich vor, dass ein Kontrollverlust über die Daten auf dem USB-Stick gegeben war. Nicht vorgetragen wurde, inwiefern sich daraus eine ernsthafte Beeinträchtigung ergeben hat. Der Kläger befürchtete lediglich einen Identitätsdiebstahl. Etwaige Anhaltspunkte waren dafür allerdings nicht vorhanden, sodass diese Behauptung völlig unklar ist.
Nach der Auffassung des Gerichts ist es genauso denkbar, dass der USB-Stick zerstört oder beschädigt wurde. Vielmehr ist es ebenso wahrscheinlich, dass der Stick im Rahmen der von der Deutschen Post eingesetzten, automatischen Sortieranlage beschädigt und/oder zerstört wurde.
