Das Landgericht Karlsruhe hat sich mit der Frage auseinandergesetzt, ob eine Person, die Opfer eines Datenlecks ist, Schadensersatz nach der DSGVO beanspruchen kann.
In dem Verfahren ging es um eine Plattform, auf der personenbezogene Daten von Kreditkarteninhabern gespeichert waren. Inhaber der Kreditkarten konnten an einem Bonusprogramm dadurch teilnehmen, dass sich diese mit ihren personenbezogenen Daten auf der Plattform registrierten.
Wie in einigen bekannten Fällen kam es zu einem Datenleck auf der Plattform. Der Plattformbetreiber informierte die Nutzer, u.a. auch den Kläger des Verfahrens über einen Angriff. Bei dem Angriff kann es dazu gekommen sein, dass personenbezogene Daten des Klägers entwendet wurden. Zu diesen Daten zählen insbesondere Name, Geburtsdatum, Geschlecht, Anschrift, E-Mailadresse, Telefonnummer und ggf. Kreditkartennummer. Der Plattformbetreiber konnte ausschließen, dass Ablaufdatum und Prüfkennziffer der Kreditkarte Gegenstand des Missbrauchs waren.
Aufgrund dieser Gegebenheiten forderte der Kläger durch das Datenleck schließlich Schadensersatz von dem Plattformbetreiber.
DSGVO-Verstoß bei Datenleck?
Das LG Karlsruhe musste sich nicht abschließend damit beschäftigen, ob ein Datendiebstahl bzw. ein Datenleck per se einen Datenschutzverstoß darstellt. Es kam zu dem Entschluss, dass der Kläger bereits nicht den Eintritt eines Schadens dargelegt hat, der über einen bloßen Bagatellschaden hinausgeht. Im Ergebnis bedurfte es keiner weitergehenden Prüfung des DSGVo-Verstoßes durch ein Datenleck.
Das Gericht verkennt nicht, dass der Begriff des Schadensersatzes weit auszulegen ist. Das Gericht verkennt ebenfalls nicht nicht, das betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten sollen.
Der Schadensersatzanspruch aus Art. 82 DSGVO umfasse allerdings nicht jede individuell empfundene Unannehmlichkeit. Es ist vielmehr eine echte Schädigung des Betroffenen bzw. seines Persönlichkeitsrecht erforderlich. Auch wenn diese nicht mehr schweigend sein muss, muss diese nach der Auffassung des Gerichts dennoch objektiv spürbar sein.
Greifbarer Schaden für DSGVO-Schmerzensgeldanspruch erforderlich
Nach der Auffassung des Gerichts muss eine Person, die einem Datenleck zum Opfer gefallen ist, einen konkret eingetretenen Schaden darlegen und nachweisen.
Zwar stelle der Verlust der Kreditkartennummer ein hohes Risiko dahingehend dar, dass die Kreditkarte missbraucht wird. Diesem Umstand kann der Betroffene nach dem LG Karlsruhe allerdings dadurch entgegnen, dass er die Kreditkarte sperren lässt. Dass bestehende Risiko kann demnach minimiert werden. Das es zu einem Missbrauch der Kreditkarte gekommen ist, hat der Kläger des Verfahrens nicht vorgetragen.
Gelangen Dritten durch das Datenleck Name, Geburtsdatum, Geschlecht, E-Mailadresse, und/oder Telefonnummer zur Kenntnis, liegt nach der Auffassung des Gericht lediglich ein Bagatellschaden vor. Ein ggf. erfolgter Identitätsdiebstahl muss tatsächlich erfolgt sein und der Kläger muss diesen darlegen und nachweisen. Allein die fiktive Möglichkeit dafür genügt nach der Auffassung des Gerichts nicht.
