DSGVO-Verstöße: Gericht erlaubt Sammelklagen

Das Oberlandesgericht Hamm (OLG) hatte im Sommer in einem Verfahren entschieden, in dem es um eine Datenpanne im Impfzentrum der Stadt Essen ging. Dort waren im Rahmen einer Information über Änderungen bei den Öffnungszeiten und damit verbundenen Terminverschiebungen aus Versehen drei Excel-Listen mit den Daten von 13.000 Personen verschickt worden. Neben Vor- und Nachnamen, Anschrift und Geburtsdatum waren Angaben zum vorgesehenen Impfstoff und zur Anzahl bereits erhaltener Impfungen sowie gegebenenfalls Kontaktdaten enthalten.

Das Mailing ging an 1200 Empfänger, wurde aber sofort nach dem Versand zurückgerufen, was zumindest in rund 500 Fällen wohl erfolgreich war. Dennoch schlug die Panne hohe Wellen, der Vorfall führte zu Beschwerden und Schadensersatzforderungen. Und die Sache rief auch Glücksritter auf den Plan: So erhielten zahlreiche Betroffene eine E-Mail von einem Absender namens „Europäischen Zentrale für Verbraucherschutz“. Über einen Link wurden die Empfänger auf die Website einer Firma weitergeleitet, die die Abtretung etwaiger Schadensersatzansprüche gegen eine Sofortentschädigung anbot.

Am Ende forderte das Unternehmen, das in Deutschland weder als Inkassodienstleisterin registriert war, noch über eine anderweitige Rechtsdienstleistungserlaubnis verfügte, im Namen von 532 Personen, die ihre Rechte wirksam abgetreten hätten, jeweils 800 Euro. Insgesamt wurden von der Stadt Essen also rund 425.000 Euro verlangt.

Nur zwei Ansprüche bewiesen

Nachdem das Landgericht Essen die Abtretungen von DSGVO-Schadensersatzansprüchen generell für unzulässig erklärte und die Klage daher abwies, ging die Sache vor das OLG. Und hier wurde der Fall immer skurriler.

Zunächst musste die Klagefirma einräumen, dass sie die Ansprüche von sechs Betroffenen versehentlich doppelt erfasst hatte und Forderungen von 15 Zedenten beansprucht wurden, die von dem Datenschutzverstoß gar nicht betroffen waren. Weitere elf Betroffene waren bei Abschluss der Forderungsabtretung noch minderjährig, sodass die Abtretungen unwirksam waren. Und von den verbleibenden 515 Forderungen konnte sie nur in zwei Fällen nachweisen, dass die Unterschriften tatsächlich von den Betroffenen stammten und diese die Schadensersatzansprüche tatsächlich an sie abgetreten hatten.

Außerdem wurde offenbar, dass für das Werbemailing die Daten aus den umstrittenen Excel-Tabellen selbst genutzt worden waren und dass die „Europäische Zentrale für Verbraucherschutz“ gar nicht existierte. Und schließlich kam ans Licht, dass die Firma den Betroffenen nur 31,59 Euro gezahlt hatte.

600 Euro Schadenersatz, 66.000 Euro Prozesskosten

Dennoch befand das OLG die Abtretungsverträge für rechtswirksam und sprach dem Unternehmen insgesamt 600 Euro Schadenersatz zu, also 300 Euro pro Fall. Dennoch war das Ganze am Ende ein Pyrrhussieg: Denn die Klagefirma muss die gesamten Verfahrenskosten zahlen – rund 66.000 Euro. Um das wirtschaftliche Desaster noch abzuwenden, wurde Revision beim BGH eingelegt.

Rechtsanwalt Fabian Virkus von der Treuhand Hannover sieht das Urteil positiv.Foto: Treuhand Hannover

Trotz der absurden Konstellation lohnt sich laut Virkus wegen der aufgeworfenen Rechtsprobleme der Blick in die Entscheidungsgründe. So halte das OLG die Abtretung von Schadensersatzansprüchen nach DSGVO grundsätzlich für zulässig. Denn auch wenn nach § 399 BGB die Abtretung sogenannter höchstpersönlicher Schadensersatzansprüche verboten sei, seien DSGVO-Ansprüche davon nicht erfasst und könnten daher abgetreten werden.

Auch stellte sich das OLG auf den Standpunkt, dass der Einzug fremder Forderungen im Wege des echten Factorings keine unerlaubte Rechtsdienstleistung darstelle und daher nicht gegen das Rechtsdienstleistungsgesetz verstoße.

Auch die Differenz zwischen gezahltem und gefordertem Betrag ist laut OLG nicht als wucherähnliches Rechtsgeschäft zu beanstanden, auch wenn ein sehr auffälliges Missverhältnis vorliege. Entscheidend sei aber nicht der angenommene, sondern der tatsächliche Wert der jeweiligen Schadensersatzforderung. Und da dieser bei 300 Euro liege, sei ein Kaufpreis von circa 10 Prozent pro Forderung noch akzeptabel.

Auch die Art und Weise, wie die Klagefirma an die Adressdaten gekommen sei, führt nach Auffassung des OLG nicht zur Sittenwidrigkeit der Abtretungen. Zwar sei die Verwendung der Excel-Tabelle selbst datenschutzwidrig, und das Auftreten unter einer Phantasiebezeichnung als „Europäische Zentrale für Verbraucherschutz“ verstoße gegen das Gesetz gegen den unlauteren Wettbewerb (UWG), dies führe aber noch nicht zur Sittenwidrigkeit der Abtretungen.

Verantwortung für Datenpanne

Die Datenpanne selbst stellt laut OLG einen klaren Verstoß gegen die DSGVO dar und begründe für jeden Betroffenen einen Schadensersatzanspruch. Denn den Betreiber treffe ein Verschulden: Zwar seien verschiedene Sicherheitsvorkehrungen getroffen worden, um einen solchen Vorfall zu verhindern. Für einen Schadensersatzanspruch nach der DSGVO müsse aber nicht der Betroffene nachweisen, dass der Datenverarbeiter schuldhaft gehandelt habe, sondern der Datenverarbeiter, dass ihn kein Verschulden – weder Vorsatz noch Fahrlässigkeit – treffe. Dies sei dem Impfzentrum nicht gelungen, da es für vermeidbare Fehler seiner Mitarbeiter hafte.

Auch ohne materiellen Schaden hat das OLG den Betroffenen ein „Schmerzensgeld“ für den Verlust der Kontrolle über ihre Gesundheitsdaten zugesprochen. Der immaterielle Schadensersatz hätte sogar noch höher ausfallen können, wenn die Behauptung, die Excel-Datei sei im Darknet zum Kauf angeboten worden, bewiesen worden wäre. Andere Betroffene, die als Zeugen vernommen wurden, hatten aber ausgesagt, dass sie keine negativen Auswirkungen der Datenschutzverletzung, insbesondere keine Zunahme von Spam-E-Mails, Spam-Anrufen und Spam-SMS, bemerkt hätten.

BGH muss entscheiden

„Hervorzuheben ist zunächst, dass das OLG Hamm einige Rechtsfragen anders beurteilte, als dies andere Gerichte beziehungsweise Datenschutzrechtler tun. So ist die Frage, ob DSGVO-Schadensersatzansprüche überhaupt abgetreten werden dürfen, weiterhin stark umstritten“, fasst Virkus zusammen. Eine letztinstanzliche Klärung durch den BGH beziehungsweise den Europäischen Gerichtshof (EuGH) stehe weiter aus. „Ob das hier streitgegenständliche Geschäftsmodell überhaupt zulässig ist, bleibt bis zur endgültigen Klärung durch den Bundesgerichtshof beziehungsweise den EuGH also offen.“

In der Höhe reihe sich der zugesprochenen Schadensersatz in die aktuelle Rechtsprechung ein, wonach bei geringfügigen Datenschutzverstöße auch nur kleine Schadensersatzbeträge anfallen. Zwar habe beispielsweise das Bundesarbeitsgericht (BAG) einmal einen Schadensersatzanspruch in Höhe von 1000 Euro für eine nicht erfüllte Auskunft des Arbeitgebers über den Verbleib der Arbeitnehmerdaten zugesprochen. Auch einem Arbeitnehmer, der von seinem Arbeitgeber während einer Krankheit über eine Woche hinweg heimlich überwacht und gefilmt wurde, hatte das BAG zuletzt ein Schmerzensgeld in Höhe von 1500 Euro zugesprochen. „In jüngster Vergangenheit hat es allerdings immer wieder betont, dass die bloße Nichterfüllung oder die nicht ordnungsgemäße Erfüllung von Auskunftsansprüchen keinen Schadensersatzanspruch begründet“, so Virkus.

Goldgräberstimmung vorbei

Sein Fazit: „Die Goldgräberstimmung im Schadensersatzrecht des Datenschutzes ist vorbei. Der vor wenigen Jahren stark verbreitete Glaube, auch bei geringen Verstößen gegen die DSGVO exorbitante Schmerzensgeldzahlungen zu erhalten, hat sich als Irrglaube erwiesen“, so Virkus. „Gewerbliche Anbieter haben sich auf diesem Gebiet bislang noch nicht etabliert, weil die Höhe des Schmerzensgeldes vom Einzelfall abhängt und – trotz der hohen Darlegungsanforderungen – sehr gering bleibt. Eine wirtschaftliche sinnvolle Geltendmachung von DSGVO-Schadensersatzansprüchen in Form von Sammelklagen oder durch gewerbliche Dienstleister erscheint damit unwirtschaftlich.“