Schlagwort: Schmerzensgeld
1. Oktober 2021
Gerichtsentscheidungen dürfen nur anonymisiert – d.h. ohne namentliche Nennung der betroffenen Personen – an andere Behörden weitergeleitet werden. Das entschied das Landgericht Köln unter Verweis auf die DSGVO mit Urteil vom 03.08.2021 (Az. 5 O 84/21). Einen Anspruch auf Schmerzensgeld für die unberechtigte Weiterleitung verneinte das Gericht.
Sachverhalt
Im Ursprungsfall wandte sich der Kläger gegen eine Allgemeinverfügung der Stadt Bergisch Gladbach, die ihm aufgrund der Corona-Pandemie die Schließung seines Geschäftslokals auferlegte. Nachdem das Verwaltungsgericht Köln zugunsten der Stadt entschieden hatte, leitete diese den Beschluss an andere Behörden zu deren Information weiter. Dabei unterließ sie jede Form der Anonymisierung, d.h. Unkenntlichmachung des Klägers.
In dem Verfahren vor dem LG Köln begehrte der Kläger deswegen von der Stadt Schmerzensgeld gem. Art. 82 DSGVO. Dazu behauptete er, durch die öffentliche Bekanntmachung des Beschlusses sei er Anfeindungen als Corona-Leugner ausgesetzt gewesen und seine Reputation habe gelitten. Die Stadt hingegen verwies darauf, dass der Fall bereits durch die Berichterstattung in einer Tageszeitung der Öffentlichkeit bekannt gewesen sei und dass es sich bei den personenbezogenen Daten des Klägers nicht um geheime Daten gehandelt habe.
Die Entscheidung
Nach Art. 82 DSGVO steht jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz zu. Das LG Köln sah in der Weiterleitung des Beschlusses an andere Behörden auch einen Verstoß gegen die DSGVO. Die Stadt hätte jedenfalls den Beschluss anonymisieren und die Identität des Klägers unkenntlich machen müssen.
Es verneinte jedoch einen Anspruch auf Schmerzensgeld gem. Art. 82 DSGVO. Als Begründung dafür führte es an, dass die vom Kläger beschriebenen Beeinträchtigungen nicht notwendigerweise auf die Offenlegung des Berichts zurückzuführen seien. Zu dem Zeitpunkt hätten sich auch andere Geschäftsinhaber gegen die Schließung gewehrt, so dass auch diese an den Beschluss hätten gelangen können. Zudem seien die Mitarbeiter der Verwaltung zur Verschwiegenheit verpflichtet.
1. März 2021
Übersieht ein Arbeitgeber bei der Beendigung des Beschäftigungsverhältnisses, dass das Profil eines ehemaligen Arbeitnehmers weiterhin im Internet abrufbar ist, so liegt darin eine Persönlichkeitsrechtsverletzung, die einen Schmerzensgeldanspruch des Arbeitnehmers rechtfertigt.
Das hat das Landesarbeitsgericht Köln mit Urteil vom 14.09.2020 (Az.: 2 Sa 358/20) entschieden, als es der Klägerin, die bei der Beklagten bis August 2018 als Professorin beschäftigt war, ein Schmerzensgeld von 300 Euro zusprach.
Die Beklagte speicherte im Rahmen des Beschäftigungsverhältnisses das Profil der Klägerin als PDF auf ihrer Homepage. 2015 stellte die Beklagte ihre Homepage auf HTML um. Dabei übersah sie, dass die isolierte PDF-Datei weiterhin im Internet abrufbar blieb. Mit der Folge, dass auch bei Beendigung des Beschäftigungsverhältnisses, als die Beklagte die Löschung des Profils der Klägerin nebst Foto vornahm, diese das PDF ebenfalls übersah.
Nach Beendigung des Arbeitsverhältnisses im Februar 2019 entdeckte die Klägerin dies, als sie ihren Namen googelte und das PDF unter den ersten zehn Treffern abrufbar war. Daraufhin verlangte sie von der Beklagten die Löschung des Profils sowie von Artikeln über ihre Forschungsvorhaben. Dem kam die Beklagte unverzüglich nach. Dennoch erhob die Klägerin Klage vor dem Arbeitsgericht Köln und verlangte von der Beklagten unter anderem ein Schmerzensgeld in Höhe von 1.000 Euro aus Art. 82 DSGVO wegen der unberechtigten Vorhaltung des PDF auf dem Server der Beklagten.
Erstinstanzlich hat das Arbeitsgericht Köln der Klägerin Schadensersatz nach Art. 82 DSGVO in Höhe von 300 Euro zugesprochen, da es in der Vorhaltung des PDF eine Persönlichkeitsrechtsverletzung der Klägerin – und mithin einen immateriellen Schaden – sah. Dagegen legte die Klägerin Berufung ein. Das Landesarbeitsgericht Köln lehnte die Berufung der Klägerin ab. Dazu bestätigte es die Ausführungen der ersten Instanz nochmals:
Die Beklagte habe gegen Art. 17 DSGVO, das Recht auf Löschung, verstoßen. Danach hat die betroffene Person das Recht, von einem Verantwortlichen zu verlangen, dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern diese nicht mehr notwendig sind. Die Beklagte hätte daher nach Beendigung des Arbeitsverhältnisses das Profil der Klägerin vollständig löschen müssen. Eine vollumfängliche Löschung nahm sie, wenn auch aus einem Versehen heraus, vorliegend aber nicht vor. Darin sah das Gericht einen Verstoß. Bei diesem handelte es sich laut Gericht auch nicht um ein Bagatelldelikt, da es für Dritte ohne Weiteres möglich war, durch Eingabe der entsprechenden Suchbegriffe die zu Unrecht nicht gelöschte Seite aufzurufen.
Der Höhe nach gaben beide Instanzen der Klage jedoch nicht vollumfänglich statt. Zwar soll die Verhängung eines Schadensersatzes abschreckende Wirkung haben, um zukünftige Verstöße zu vermeiden – zu berücksichtigen sei aber ebenfalls die Schwere der Beeinträchtigung. Eine solche Schwere, die ein Schmerzensgeld von 1.000 Euro rechtfertigt, konnten beide Instanzen nicht erkennen. Insbesondere verneinten sie eine Reputationsschädigung der Klägerin. Vielmehr waren die veröffentlichten Tatsachen über die Klägerein inhaltlich richtig. Zudem sei auch nicht erkennbar, dass für die Beklagte irgendein Mehrwert mit der kurzzeitigen Aufrechterhaltung der Sichtbarkeit des PDF verbunden war. Daher – und unter Berücksichtigung, dass es sich nur um ein Versehen der Beklagten handelte – sei im vorliegenden Fall ein Schmerzensgeld von 300 Euro angemessen.
Beim Ausscheiden von Mitarbeitern sollte unter Berücksichtigung des Art. 17 Abs. 1 DSGVO daher immer geprüft werden, ob die Voraussetzung für einen Löschanspruch bzw. für eine Löschpflicht durch den Arbeitgeber vorliegt. Dies dürfte bei der Beendigung eines Arbeitsverhältnisses fast immer der Fall sein, da der primäre Zweck der Datenspeicherung bzw. -verarbeitung in Form des Beschäftigtenverhältnisses in diesem Fall nicht mehr besteht.
3. Februar 2021
Wie nun bekannt wurde, hat das Landgericht Lüneburg mit Urteil vom 14.07.2020, Az. 9 O 145/19 eine Bank zur Zahlung von Schadensersatz in Höhe von 1.000 EUR verurteilt. Für die Richter lag ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) vor, weil die Bank eine Kontoüberziehung ihres Bankkunden in Höhe von 20 Euro zu Unrecht einer Kredit-Auskunftei, der Schufa Holding AG (nachfolgend Schufa) meldete.
Sachverhalt:
Der Kläger unterhielt bei der Beklagten, einer größeren Bank, ein Girokonto. Auf dem Konto wurde dem Kläger auch ein Dispositionskredit über 1.000 Euro zur Verfügung gestellt. Dieser Dispositionskredit wurde von der Bank unter Berufung auf die Allgemeinen Geschäftsbedingungen (AGB) aus wichtigem Grund gekündigt. Zu diesem Zeitpunkt überschritt der Kläger den ihm eingeräumten Dispokredit um 20 Euro, der Sollsaldo betrug mithin 1.020 Euro. Nach Erhalt der Kündigung glich der Kläger die überzogenen 20 Euro aus, so dass das Konto des Klägers einen Sollsaldo von 999,99 Euro auswies. Weitere Verfügungen über das Konto wurden nicht mehr zugelassen. Nachdem es in der Folge mehrere Lastschriftrückgaben gab, kündigte die Beklagte sodann auch die Kontoverbindung des Klägers aus wichtigem Grund und stütze sich dabei auf einen Kündigungsgrund innerhalb ihrer AGB. Dabei setzte sie dem Kläger eine Frist zur Rückzahlung des bestehenden Schuldsaldos inklusive Zinsen. Dieser Fristsetzung kam der Kläger nach und beglich den noch offenen Sollsaldo, vor Ablauf der Frist hatte die Bank aber bereits bei der Schufa eine Negativ-Einmeldung i.H.v. 1.020 Euro veranlasst.
Dagegen erhob der Kläger Klage vor dem Landgericht Lüneburg und beantrage unter anderem den Widerruf dieser Einmeldung sowie die Zahlung eines Schmerzensgeldes.
Entscheidung:
Das Gericht gab dem Kläger teilweise Recht und verurteilte die Beklagte zum Widerruf der von ihr veranlassten Datenübermittlung an die Schufa sowie zur Zahlung eines Schadensersatzes.
Dabei hielt es einen Anspruch auf Ersatz eines immateriellen Schadens in Gestalt eines Schmerzensgeldes nach Art. 82 Abs. 1 DSGVO in Höhe von 1.000 Euro für angemessen. Den immateriellen Schaden begründete es vorliegend mit dem Kontrollverlust des Klägers über seine personenbezogenen Daten. Durch die Übermittlung der Daten an die Schufa habe die Beklagte, so das Gericht, personenbezogene Daten an einen unbeteiligten und unberechtigten Dritten weitergegeben. Dadurch sei der Kläger bloß gestellt worden und es drohe zudem mittelbar eine potenzielle Stigmatisierung, die durch einen Eintrag bei der Schufa entstehen könne. Das Gericht führte weiter aus, dass es sich bei den an die Schufa übermittelten Daten um schützenswerte und sensible Daten des Klägers handle, die maßgeblichen negativen Einfluss auf seine Teilnahme am wirtschaftlichen Verkehr haben können, indem ihm Kredite oder Verträge aufgrund der Eintragung versagt werden können. Auch Grundrechte wie die Berufsfreiheit und die allgemeine Handlungsfreiheit können durch eine solche Eintragung beeinträchtigt werden.
Vorliegend sah das Gericht daher das Interesse des Klägers, dass seine Daten nicht an die Schufa gemeldet werden und gegebenenfalls durch unbekannte Dritte eingesehen werden können, als besonders schützenswert an. Ein berechtigtes Interesse der Beklagten an der Datenübermittlung an die Schufa, verneinte das Gericht. Im Rahmen der Interessenabwägung, stütze es seine Abwägungskriterien auf § 31 Abs. 2 Nr. 4 Bundesdatenschutzgesetz (BDSG). Die Voraussetzungen des § 31 Abs. 2 Nr. 4 BDSG, wonach der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden sein; die erste Mahnung mindestens vier Wochen zurückliegen; der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichten worden sein muss und der Schuldner die Forderung nicht bestritten haben darf, lagen nach Ansicht des Gerichts nicht vor. Damit lag für das Gericht ein Indiz für die Rechtswidrigkeit der Datenübermittlung an die Schufa vor.
Ausblick:
Die Besonderheit dieses Falles liegt wohl darin, dass obwohl das Landgericht die Beeinträchtigung des Klägers als eher gering einschätzte und die Negativeintragung nur 14 Tage bestand, es dem Kläger einen Schadensersatz in Höhe von 1.000 Euro zusprach. Zudem hielt das Gericht vorliegend – anders als viele andere Gerichte – auch eine Erheblichkeitsschwelle bei einem immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO für nicht geboten, sondern wollte auch einen Bagatellschäden entschädigt sehen.
Es bleibt daher abzuwarten, welche Signalwirkung dieses Urteil auf andere Gerichte hat und wie die Gerichte bei einem länger andauernden Datenschutzverstoß entscheiden werden.
9. Februar 2017
Mit Urteil vom 30.09.2016 (Az. 20 U 83/16) hat das Oberlandesgericht Köln (OLG Köln) einen Anspruch auf Schmerzensgeld aufgrund eines datenschutzrechtlichen Verstoßes bejaht. Die Beklagte hatte ein Urteil mit Gesundheitsdaten des Klägers rechtswidrig an dessen Arbeitgeber weitergegeben. Zu dem Urteil kam es, weil der Kläger mit der beklagten Versicherung über Ansprüche aus einer Berufsunfähigkeitsversicherung stritt. Die Versicherung behauptete, dass sich die Klägerin vertragswidrig Verhalten habe und verweigerte daher die Zahlung. Nachdem die Klage erstinstanzlich noch abgewiesen worden war, verglichen sich die Parteien im Berufungsverfahren auf Zahlung in Höhe von 90.000 Euro an den Kläger.
In der Zwischenzeit hatte die Beklagte das Urteil der ersten Instanz allerdings an den Arbeitgeber des Klägers, ein Unternehmen des gleichen Konzerns, weitergegeben. Der Arbeitgeber des Klägers kündigte ihm daraufhin fristlos.
In dem zu entscheidenden Fall begehrte der Kläger von der Beklagten Schadensersatz und Schmerzensgeld, da sie nach Ansicht des Klägers nicht dazu berechtigt gewesen sei, das Urteil an den Arbeitgeber weiterzugeben. Der Kläger hatte insbesondere keine Einwilligung hinsichtlich der Weitergabe erteilt.
Während das Landgericht Köln die Klage in der ersten Instanz noch abgewiesen hatte, entschied das OLG Köln im Berufungsverfahren zu Gunsten des Klägers. Als Begründung führte es aus, dass die Beklagte die Gesundheitsdaten des Klägers aus keinem rechtlichen Grund an Dritte weitergeben durfte. Vor allem sei die konzernrechtliche Bindung zwischen der Beklagten und dem Arbeitgeber des Klägers im Datenschutzrecht ohne Bedeutung. Da weder eine Einwilligung des Klägers vorgelegen habe, noch ein denkbarer Erlaubnistatbestand einschlägig sei, sei die Weitergabe des Urteils und der Gesundheitsdaten daher rechtswidrig erfolgt.
Damit verletzte die Beklagte das Recht auf informationelle Selbstbestimmung des Klägers und der Kläger könne aufgrund des dadurch erlittenen materiellen und immateriellen Schadens Schadensersatz- und Schmerzensgeldansprüche geltend machen. Da der Kläger zunächst auf die reine Feststellung des Verstoßes geklagt hatte, kann er nun noch die konkrete Höhe beziffern und die entsprechenden Beträge einfordern.
