17. August 2021
DSGVO Schadensersatz Schmerzensgeld
Datenschutzrecht

DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) #002

Auf DSGVO-Verstöße gestützte Schadensersatzklagen werden immer bedeutender. Unser Überblick zeigt die aktuellen Entwicklungen und Urteile.

Bei Verstößen gegen die DSGVO können die Aufsichtsbehörden empfindliche Bußgelder verhängen. Nach anfänglicher Zurückhaltung der deutschen Aufsichtsbehörden sind mittlerweile auch Bußgelder im Millionenbereich keine Überraschung mehr – ob sie jedoch auch einer gerichtlichen Prüfung standhalten, ist dann wiederum eine andere Frage, wie sich etwa in dem Urteil des LG Bonn vom 11. November 2020 oder in der Entscheidung des LG Berlin vom 18. Februar 2021 gezeigt hat. 

Zugleich können natürliche Personen bei einem DSGVO-Verstoß Schadenersatz verlangen. Über Art. 82 DSGVO steht betroffenen Personen ein eigener deliktischer Anspruch gegen datenverarbeitende Unternehmen zu, wenn ihnen aufgrund eines DSGVO-Verstoßes ein Schaden entstanden ist. Schadenersatzansprüche einzelner Personen mögen im Vergleich zu einem hohen behördlichen Bußgeld vernachlässigbar erscheinen. Bedenkt man aber, dass DSGVO-Verstöße oftmals große Datenbestände und somit häufig tausende oder gar hunderttausende Personen betreffen, ergibt sich ein anderes Bild. Die Einzelschäden können sich kumulieren und in der Summe schnell die Bußgeldrisiken übersteigen. 

Kollektive Rechtsdurchsetzung mittels Sammelklage, Musterfeststellungsklage oder Verbandsklage steht in den Startlöchern

Bislang überwiegt bei Schadensersatzansprüchen in der Praxis noch die individuelle Durchsetzung: Ein einzelner Geschädigter verlangt von einem datenverarbeitenden Unternehmen Ersatz für die erlittenen Schäden. Neue Instrumente kollektiver Rechtsdurchsetzung könnten zukünftig für eine Trendwende sorgen – hin zu einer „Datenschutz-Sammelklage″, mittels derer viele betroffene Personen ihre Ansprüche gemeinsam verfolgen: 

  • „Zessions-Sammelklage″: Professionelle Kläger lassen sich bereits heute Ansprüche von betroffenen Personen auf Schadensersatz abtreten. Hierzu werden – zum Beispiel nach einem Datenschutzvorfall bei einem bekannten Unternehmen – „Informationsseiten″ geschaltet, um Ansprüche „einzusammeln″. Anschließend versucht der „Sammelklagen-Anbieter″, die Ansprüche gebündelt durchzusetzen. Ob das Modell in Deutschland tatsächlich rechtlich zulässig ist, hängt unter anderem davon ab, ob Schadensersatzansprüche wirksam an „Sammelklagen-Anbieter″ abgetreten werden können und ob diese Anbieter überhaupt klagebefugt sind. Beides ist noch nicht entschieden. 
  • Musterfeststellungsklage: Bestimmte Verbände können mit der Musterfeststellungsklage feststellen lassen, ob ein datenverarbeitendes Unternehmen gegen die DSGVO verstoßen hat. Die Höhe des Schadens kann nicht festgesetzt werden, sondern muss in einem Folgeverfahren von den betroffenen Klägern individuell durchgesetzt werden.
  • EU-Verbandsklage: Bereits nach heutigem Recht können Verbraucherverbände und „qualifizierte Einrichtungen″ für eine Gruppe von betroffenen Personen Unterlassungsansprüche durchsetzen. Mit der im Dezember 2020 in Kraft getretenen EU-Verbandsklagerichtlinie wird erstmals eine Möglichkeit geschaffen, auch Schadensersatz für viele Verbraucher einzuklagen. Die Umsetzung in deutsches Recht durch den Gesetzgeber hat bis zum 31. Dezember 2022 zu erfolgen. Anschließend wird in Deutschland die Möglichkeit einer „echten″ DSGVO-Sammelklage auf Schadensersatz bestehen.

Voraussetzungen des Art. 82 DSGVO 

Um Schadensersatz zuzusprechen, muss das angerufene Gericht – ungeachtet der Frage, ob individuell oder kollektiv Schadensersatz verlangt wird – prüfen, ob die Anspruchsvoraussetzungen von Art. 82 DSGVO erfüllt sind. Die nachfolgende Tabelle dokumentiert die bisherige Auslegungs- und Entscheidungspraxis deutscher Gerichte. Zur Erhöhung der Lesbarkeit werten wir die Entscheidungen nach einem vereinfachten Prüfungsschema anhand folgender Kriterien aus:

  • Sachverhalt: Angabe zum Verletzungsvorwurf und den betroffenen personenbezogenen Daten (Verletzungshandlung).
  • DSGVO-Verstoß: Gerichtlich festgestellter Verstoß gegen die DSGVO (Pflichtverletzung und haftungsbegründende Kausalität); sofern wir eine eigene Interpretation zum DSGVO-Verstoß vorgenommen haben, ist dies in der untenstehenden Tabelle durch den Hinweis Anmerkung CMS″ kenntlich gemacht. 
  • Ergebnis/Schadensersatz: Erläuterung zum Bestehen des Schadensersatzanspruchs; die Höhe des Schadens ist in der Spalte „Ergebnis″ dargestellt (Schaden, haftungsausfüllende Kausalität). Sofern das Gericht konkret darlegt, worin der erlittene (immaterielle) Schaden liegt oder seine Entscheidung in „besonderer″ Weise begründet, haben wir dies zusätzlich in der Spalte „Schadensersatz″ vermerkt.
  • Verantwortlichkeit: Ausführungen (soweit vorhanden) zur Verantwortlichkeit sowie zur Frage des Entlastungsbeweises nach Art. 82 Abs. 3 DSGVO. 

Zur besseren Übersicht verwenden wir dabei die folgenden Symbole: 

      = Schadensersatz zugesprochen/Haftungsvoraussetzung erfüllt

❌      = Schadensersatz abgelehnt/Haftungsvoraussetzung nicht erfüllt

      = Frage offen gelassen/Kriterium nicht anwendbar

Unsere Tabelle wird regelmäßig aktualisiert, zuletzt am 12. August ohne Anspruch auf Vollständigkeit zu erheben.

OLG Bremen, Beschluss vom 16. Juli 2021 – 1 W 18/21
(Verfahrensgang: LG Stuttgart, Urteil vom 11. November 2020 – 14 O 273/20)
Ergebnis
SachverhaltSofortige Beschwerde gegen ablehnenden Beschluss für Prozesskostenhilfe der Antragstellerin, die in einem Hauptsacheverfahren immateriellen Schadensersatz nach Art. 82 DSGVO geltend machen wollte.
DSGVO-Verstoß 
Schadensersatz
Antragstellerin habe nicht dargelegt, dass ein immaterieller Schaden entstanden sei.
Verantwortlichkeit

OGH, Teilurteil vom 23. Juni 2021 – 6 Ob 56/21k
Ergebnis500 Euro
SachverhaltDer Kläger (Datenschutzaktivist Maximilian Schrems) erhielt eine unvollständige und verspätete Auskunft über die von ihm bei dem sozialen Netzwerk Facebook gespeicherten Informationen.
DSGVO-Verstoß 
Verspätete und unvollständige Auskunft nach Art. 15 DSGVO.
Schadensersatz
Verantwortlichkeit

LAG Hamm, Urteil vom 11. Mai 2021 – 6 Sa 1260/20
(anhängig beim Bundesarbeitsgericht – 2 AZR 363/21)
Ergebnis1.000 Euro
SachverhaltEine Arbeitnehmerin forderte von ihrem Arbeitgeber Auskunft hinsichtlich über die gespeicherte Daten, insb. zur Arbeitszeiterfassung. Dieser Aufforderung kam der Arbeitgeber nicht vollständig nach.
DSGVO-Verstoß 
Verstoß gegen Auskunftspflicht nach Art. 15 DSGVO.
Schadensersatz
Verantwortlichkeit

ArbG Münster, Urteil vom 25. März 2021 – 3 Ca 391/20
(anhängig beim Bundesarbeitsgericht – 2 AZR 363/21)
Ergebnis5.000 Euro
SachverhaltVerwendung von Marketingfotos einer Arbeitnehmerin in einem auf die Hautfarbe der Klägerin abstellenden Zusammenhang ohne schriftliche Einwilligung
DSGVO-Verstoß 
Keine Einholung einer schriftlichen Einwilligung, die nach § 26 Abs. 2 S. 3 BDSG erforderlich sei

Anmerkung CMS: fehlt eine notwendige Einwilligung, liegt ein Verstoß gegen Art. 6 Abs. 1 S. 1 lit. a), Art. 7 DSGVO vor
Schadensersatz
Gericht bejaht einen Anspruch aus Art. 82 DSGVO, § 823 BGB i.V.m. § 22 KUG oder aus § 15 AGG
Verantwortlichkeit

Oberster Gerichtshof der Republik Österreich, Beschluss vom 15. April 2021 – 6Ob35/21x
ErgebnisVorlage an den EuGH: Erste Vorlagefrage, ob neben einer Verletzung von Bestimmungen der DSGVO für einen Anspruch aus Art. 82 DSGVO ebenfalls erforderlich ist, dass der Kläger einen Schaden erlitten hat, oder ob die Verletzung von Bestimmungen der DSGVO als solche bereits ausreicht; zweite Vorlagefrage, ob neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des  Unionsrechts für die Bemessung des Schadensersatzes bestehen; dritte Vorlagefrage betrifft die Annahme einer Bagatellgrenze
SachverhaltSpeicherung von personenbezogenen Daten zur Parteiaffinität durch ein Adresshandelsunternehmen, wobei dem Betroffenen (fälschlicherweise) die Nähe zu einer Partei im rechten politischen Spektrum zugeordnet wurde; eine Weitergabe der Daten an Dritte erfolgte nicht
DSGVO-Verstoß 
Schadensersatz
Kein immaterieller Schadensersatzanspruch nach Art. 82 DSGVO, da kein Schaden „erlitten″ wurde, wobei der bloße Hinweis auf den „Kontrollverlust″ über die Daten nicht ausreichend sei; die Anwendbarkeit einer Bagatellgrenze verneint der OGH
Verantwortlichkeit

OLG Stuttgart, Urteil vom 31. März 2021 – 9 U 34/21, GRUR-RS 2021, 6282 (Verfahrensgang: LG Stuttgart, Urteil vom 11. November 2020 – 14 O 273/20)
Ergebnis
SachverhaltDatendiebstahl aufgrund eines Datenlecks des Kundendatenbestands eines Kreditkartenanbieters sowie verspätete Auskunft hierüber
DSGVO-Verstoß 
Kein Verstoß gegen Art. 15 Abs. 1 DSGVO oder Art. 32 DSGVO, da keinen Nachweis einer kausalen Pflichtverletzung erbracht (Art. 5 Abs. 2 DSGVO bewirkt keine Beweislastumkehr im Zivilprozess; Grundsätze primärer und sekundärer Beweislast sind ausreichend)
Schadensersatz
Verantwortlichkeit

 ArbG Mannheim, Urteil vom 25. März 2021 – 8 Ca 409/20, BeckRS 2021, 6492 
Ergebnis
SachverhaltÜbersendung einer Datei mit Informationen zur Abmeldung sämtlicher Beschäftigter von der Sozialversicherung nach pandemiebedingter Schließung eines Tanzlokals an einen Mitarbeiter per WhatsApp
DSGVO-Verstoß 
Keine schlüssige Darlegung eines DSGVO-Verstoßes, Übermittlung nach § 26 Abs. 1 BDSG gerechtfertigt, keine Darlegung, aus welchen Gründen ein Versand per WhatsApp gegen die DSGVO verstoßen soll
Schadensersatz
Verantwortlichkeit

LAG Baden-Württemberg, Urteil vom 25. Februar 2021 – 17 Sa 37/20, BeckRS 2021, 5529; Datenschutzverstoß: Schadenersatz setzt erlittenen Schaden voraus – CMS Blog (cmshs-bloggt.de)Revision zugelassen(Verfahrensgang: ArbG Ulm, Urteil vom 14. November 2019 – 5 Ca 18/18)
Ergebnis
SachverhaltVerarbeitung von Kategorien personenbezogener Daten zu Testzwecken (Workday), die nicht von einer Betriebsvereinbarung erfasst wurden, sowie Übermittlung von Daten an Konzernmutter in Drittland (USA) u.a. aufgrund von Standardvertragsklauseln
DSGVO-Verstoß 
Verneint: Verstoß gegen Art. 28 DSGVO und Art. 44 ff. DSGVO

Bejaht: Verstoß gegen § 26 Abs. 4 BDSG i.V.m. den Bestimmungen einer Betriebsvereinbarung
Schadensersatz
Kein immaterieller Schadensersatzanspruch nach Art. 82 DSGVO, da kein Schaden „erlitten″ wurde, wenn Daten, die zulässig im Produktivsystem verarbeitet werden, rechtswidrig im Testsystem verarbeitet werden 
Verantwortlichkeit

LG Karlsruhe, Urteil vom 9. Februar 2021 – 4 O 67/20
Ergebnis
SachverhaltDatendiebstahl (u.a. Name, Geburts- und Kontaktdaten, evtl. Kreditkartennummer) aufgrund eines Datenlecks auf der Online- Kundenplattform eines Kreditkartenanbieters
DSGVO-Verstoß 
Offengelassen, ob Verstoß gegen Art. 5 Abs. 1 DSGVOAnmerkung CMS: auch Verstoß gegen Art. 32 DSGVO denkbar
Schadensersatz
Bloßer Bagatellschaden, da keine deutlich spürbare Persönlichkeitsverletzung
Verantwortlichkeit

BVerfG, Beschluss vom 14. Januar 2021 – 1 BvR 2853/19, BeckRS 2021, 1962
(Verfahrensgang: AG Goslar, Urteil vom 27. September 2019 – 28 C 7/19; AG Goslar, Beschluss vom 11. November 2019 – 28 C 7/19)
ErgebnisVorlage an den EuGH
SachverhaltAusgangsverfahren: Übersendung einer Werbe-E-Mail an berufliche E-Mail-Adresse ohne Einwilligung
DSGVO-Verstoß 
Schadensersatz
AG Goslar hat Schadenersatz mangels Erheblichkeit des Verstoßes abgelehnt; zweifelhaft, ob nach DSGVO korrekte Auslegung, Vorlage an EuGH wäre notwendig gewesen
Verantwortlichkeit

LG Meiningen, Urteil vom 23. Dezember 2020 – 3 O 363/20, BeckRS 2020, 48027
Ergebnis(✅)
10.000 Euro
SachverhaltFreigabe von den Versicherten betreffenden Gesundheitsdaten aus einem Sachverständigengutachten, welches für ein ordentliches Gerichtsverfahren betreffend der Folgen eines Verkehrsunfalls anfertigt wurde, durch seine Versicherung an die sie vertretende Rechtsanwaltskanzlei, die in einem weiteren ordentlichen Gerichtsverfahren denselben Unfall betreffend ebenfalls nicht den Versicherten, sondern eine weitere Versicherung als Gegenseite des Versicherten vertrat, ohne Einwilligung des Versicherten; die Rechtsanwältin verwendete Zitate aus dem Gutachten in einem anwaltlichen Schriftsatz für letzteres Verfahren 
DSGVO-Verstoß 
Weitergabe nicht nach Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt, da die Interessen des Betroffenen überwiegen
Schadensersatz
Schadensersatzanspruch nach Art. 82 DSGVO offengelassen, da bereits Anspruch aufgrund einer Nebenpflichtverletzung aus dem Versicherungsvertrag bejaht
Verantwortlichkeit

LG Landshut, Urteil vom 6. November 2020 – 51 O 513/20, BeckRS 2020, 33148 (anhängig beim OLG München – 20 U 7051/20)
Ergebnis
SachverhaltUnterlassene Schwärzung der Daten eines Wohnungseigentümers in Tagesordnung durch Hausverwaltung (Informationen zu Legionellenbefall)
DSGVO-Verstoß 
Offengelassen, ob DSGVO-Verstoß durch Tagesordnungspunkt 
Schadensersatz
Bloßer Bagatellschaden nicht ausreichend (keine Rufschädigung oder Bloßstellung)
Verantwortlichkeit

LG Köln, Urteil vom 7. Oktober 2020 – 28 O 71/20, BeckRS 2020, 27959; DSGVO-Schadensersatzansprüche – wieviel sind sie wert? (cmshs-bloggt.de)
Ergebnis
SachverhaltEinmalige und erstmalige Übersendung eines wenige Seiten umfassenden Kontoauszuges an einen falschen Empfänger durch kontoführende Bank
DSGVO-Verstoß 
DSGVO-Verstoß bejaht, allerdings Bagatellfall angenommen 
Schadensersatz
Kein Schadensersatz in derartigen Bagatellfällen (andernfalls „Gefahr einer uferlosen Häufung der Geltendmachung von Ansprüchen″)
Verantwortlichkeit

AG Hildesheim, Urteil vom 5. Oktober 2020 – 43 C 145/19, BeckRS 2020, 30107
Ergebnis
800 Euro
SachverhaltVeräußerung eines zurückgegebenen Computers an einen Dritten durch ein Unternehmen ohne vorherige Festplattenformatierung, wodurch Dritter Einsicht in Datenreste des ehemaligen Nutzers erhielt (u.a. Rechnung mit Kontaktdaten, Fotos, Steuererklärung)
DSGVO-Verstoß 
Verstoß gegen Art. 6 Abs. 1 lit. a) DSGVO
Schadensersatz
Kausaler immaterieller Schaden (Daten in einem nicht unerheblichen Umfang, jedoch nur für begrenzte Zeit) und Ersatz vorgerichtlicher Anwaltskosten 
Verantwortlichkeit
Keine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO, da Fahrlässigkeit des Verantwortlichen (insb. kein Mitverschulden der betroffenen Person) 

LG Frankfurt a.M., Urteil vom 18. September 2020 – 2-27 O 100/20, ZD 2020, 639; GRUR-RS 2020, 24557; DSGVO-Schadensersatzansprüche – wieviel sind sie wert? (cmshs-bloggt.de)
Ergebnis
SachverhaltOffenlegung von im Rahmen eines Bonusprogramms erhobenen Teilnehmerdaten (insb. Kreditkartennummern) infolge eines Datenvorfalls bei der Betreiberin von Zahlungsdiensten
DSGVO-Verstoß 
Kein Verstoß gegen Art. 5 Abs. 1 lit. a) bzw. lit. f) DSGVO oder Art. 28 Abs. 1 DSGVO feststellbar (keine Umkehr der Beweislast)

Anmerkung CMS: grds. auch Verstoß gegen Art. 32 DSGVO denkbar
Schadensersatz
Immaterieller Schaden (öffentliche Bloßstellung) entstanden, allerdings kein hierfür kausaler Datenschutzverstoß dargelegt 
Verantwortlichkeit
(Vermutung des Art. 82 Abs. 3 DSGVO beziehe sich nur auf Verantwortlichkeit, nicht auf Verstoß selbst)

LAG Köln, Urteil vom 14. September 2020 – 2 Sa 358/20, BeckRS 2020, 31543
(Verfahrensgang: ArbG Köln, Urteil vom 12. März 2020 – 5 Ca 4806/19, BeckRS 2020, 31544)
Ergebnis
300 Euro
SachverhaltVersehentliche Aufrechterhaltung der Sichtbarkeit einer PDF-Datei mit dem Tätigkeitsprofil einer Professorin nach Ende der Beschäftigung auf dem Server der Arbeitgeberin
DSGVO-Verstoß 
DSGVO-Verstoß bejaht (jedoch Intensität der Rechtsverletzung sei nur marginal) 
Schadensersatz
Kausaler immaterieller Schaden (jedoch kein Reputationsschaden und keine Rechtsverfolgungskosten)
Verantwortlichkeit
Geringer Verschuldensgrad bei Bemessung der Höhe zu berücksichtigen

LG Hamburg, Urteil vom 4. September 2020 – 324 S 9/19, BeckRS 2020, 23277 (Verfahrensgang: AG Hamburg-Barmbek, Urteil vom 15. November 2019 – 821 C 206/18)
Ergebnis
SachverhaltDatenverbreitung durch öffentliche Freischaltung eines Terminformulars (mit persönlichen Daten zu Urlaubszeitraum und Tattoovorhaben der betroffenen Person) durch Betreiberin einer Wohnungsanzeigen-Webseite
DSGVO-Verstoß 
DSGVO-Verstoß nicht (ausdrücklich) festgestellt
Schadensersatz
Jedenfalls kein kausaler Schaden, da keine benennbare, tatsächliche Persönlichkeitsverletzung (keine Bloßstellung feststellbar)
Verantwortlichkeit

LG Frankfurt a.M., Urteil vom 3. September 2020 – 2-03 O 48/19, MMR 2021, 271; GRUR-RS 2020, 25111 (anhängig beim OLG Frankfurt a.M. – 16 U 222/20)
Ergebnis
SachverhaltSperrung eines Facebook-Nutzerkontos und Löschung eines Beitrags wegen Hassrede (Verstoß gegen die Nutzungsbedingungen durch Administrator der Facebook-Seite)
DSGVO-Verstoß 
Kein DSGVO-Verstoß ersichtlich bzw. dargelegt (insb. kein Verstoß gegen Art. 6 Abs. 1 lit. b) DSGVO)
Schadensersatz
Kein Schaden (aufgrund der „angeblich rechtswidrigen Verarbeitung″ ersichtlich)
Verantwortlichkeit

ArbG Dresden, Urteil vom 26. August 2020 – 13 Ca 1046/20, ZD 2021, 54; BeckRS 2020, 26940 (anhängig beim Sächsischen LAG – 1 Sa 368/20)
Ergebnis
1.500 Euro
SachverhaltWeitergabe von Gesundheitsdaten (bzgl. Arbeitsunfähigkeit eines ausländischen Arbeitnehmers) durch ehemaligen Arbeitgeber an Ausländerbehörde
DSGVO-Verstoß 
Verstoß gegen Art. 9 Abs. 1 DSGVO
Schadensersatz
Immaterieller Schaden wegen Rufschädigung/Kontrollverlust über Daten
Verantwortlichkeit
Arbeitgeber hat Entlastungsbeweis nach Art. 82 Abs. 3 DSGVO nicht geführt

OLG Dresden, Urteil vom 20. August 2020 – 4 U 784/20, ZD 2021, 93; GRUR-RS 2020, 22896; DSGVO-Schadensersatzansprüche – wieviel sind sie wert? (cmshs-bloggt.de)
(Festhaltung u.a. an: OLG Dresden, Hinweisbeschluss vom 11. Dezember 2019 – 4 U 1680/19, ZD 2020, 413; BeckRS 2019, 36042; Verfahrensgang: LG Görlitz, Urteil vom 11. März 2020 – 6 O 122/19)
Ergebnis
SachverhaltDreißigtägige Sperrung eines Facebook-Nutzerkontos und Löschung eines Beitrags wegen Hassrede (Verstoß gegen die Nutzungsbedingungen)
DSGVO-Verstoß 
Kein DSGVO-Verstoß (Datenverarbeitung sei nach Art. 6 Abs. 1 lit. a) DSGVO zulässig wegen Zustimmung zu Nutzungsbedingungen)
Schadensersatz
Bagatellverstoß nicht ausreichend; Hemmung der Persönlichkeitsentfaltung habe nur Bagatellcharakter
Verantwortlichkeit

ArbG Neumünster, Urteil vom 11. August 2020 – 1 Ca 247 c/20, ZD 2021, 171; BeckRS 2020, 29998
Ergebnis
1.500 Euro
SachverhaltUm drei Monate verspätete Auskunft über die im Arbeitsverhältnis durch den Arbeitgeber verarbeiteten personenbezogenen Daten des ehemaligen Arbeitnehmers (Anspruch steht im Zusammenhang mit einer Kündigungsschutzklage)
DSGVO-Verstoß 
Verstoß gegen Art. 15 Abs. 1 DSGVO
Schadensersatz
Geringer immaterieller Schaden (insb. Ungewissheit über Verarbeitung der Daten); 500 Euro pro Monat der verspäteten Auskunft
Verantwortlichkeit
Fahrlässige Verstöße (keine Anhaltspunkte für Vorsatz/bewusste und gewollte Verspätung)

LG Lüneburg, Urteil vom 14. Juli 2020 – 9 O 145/19, BeckRS 2020, 36932
Ergebnis
1.000 Euro
SachverhaltMeldung einer Kontoüberziehung eines Bankkunden in Höhe von 20 Euro gegenüber einer Wirtschaftsauskunftei durch kontoführende Bank infolge der Überziehung eines Dispositionskredits
DSGVO-Verstoß 
Verstoß gegen Art. 6 Abs. 1 DSGVO und Art. 17 Abs. 1 lit. d) DSGVO
Schadensersatz
Kontrollverlust über Daten, mittelbare potenzielle Stigmatisierung bzgl. fehlender Kreditwürdigkeit (kein genereller Ausschluss von Bagatellfällen)
Verantwortlichkeit

AG Frankfurt a.M., Urteil vom 10. Juli 2020 – 385 C 155/19 (70), ZD 2021, 47; BeckRS 2020, 22861(anhängig beim LG Frankfurt a.M. – 2-15 S 73/20)
Ergebnis
SachverhaltOffenlegung von Daten aus einem Hotel-Buchungssystem infolge eines Systemfehlers und befürchteter Missbrauch der Daten durch Dritte seitens eines von dem Datenleck betroffenen ehemaligen Kunden
DSGVO-Verstoß 
Verstoß gegen Art. 5 Abs. 1 lit. f) DSGVO aufgrund einer Datenverarbeitung ohne hinreichende technische und organisatorische Maßnahmen

Anmerkung CMS: zugleich Verstoß gegen Art. 32 DSGVO
Schadensersatz
Kein kausaler Schaden (Gefühl des Unbehagens nicht ausreichend, sondern öffentliche Bloßstellung erforderlich)
Verantwortlichkeit
(Jedenfalls kein Verschulden der Verantwortlichen bzgl. der behaupteten Verletzung der Auskunfts- und Mitteilungspflicht)

LG Darmstadt, Urteil vom 26. Mai 2020 – 13 O 244/19, ZD 2020, 642; BeckRS 2020, 25785(anhängig beim OLG Frankfurt a.M. – 13 U 206/20)
Ergebnis
1.000 Euro
SachverhaltIrrtümliche Weiterleitung von Bewerberdaten an unbeteiligten Dritten durch Bank im Rahmen eines Bewerbungsprozesses (insb. keine unverzügliche Mitteilung des Bewerbers über fehlerhafte Weiterleitung)
DSGVO-Verstoß 
Verstoß gegen Art. 6 Abs. 1 lit. a) DSGVO und Art. 34 DSGVO
Schadensersatz
Überschreiten einer etwaigen Bagatellgrenze durch Kontrollverlust über Bewerberdaten (Ansehensverlust/berufliche Nachteile)
Verantwortlichkeit

AG Pforzheim, Urteil vom 25. März 2020 – 13 C 160/19, ZD 2021, 50; BeckRS 2020, 27380
Ergebnis
4.000 Euro
SachverhaltSpeicherung und Weitergabe von Gesundheitsdaten (Angaben zur Diagnostik, zum Alkoholmissbrauch und zur Notwendigkeit einer psychiatrischen Behandlung) durch Psychotherapeuten an Rechtsanwalt zur Verwertung in gerichtlichem Umgangsverfahren
DSGVO-Verstoß 
Verstoß gegen Art. 9 Abs. 1 DSGVO 
Schadensersatz
Abschreckungs- und Genugtuungsfunktion (besonders sensible Daten, drohende Rufschädigung, höchstpersönliche Sphäre)
Verantwortlichkeit
Eher geringes Verschulden, da der Verantwortliche keine kommerziellen Interessen verfolgt habe

AG Hannover, Urteil vom 9. März 2020 – 531 C 10952/19, BeckRS 2019, 43221
Ergebnis
SachverhaltSpeicherung von Kundendaten (u.a. Name, Adresse, Geburtsdatum und Handynummer) durch Reisebüro infolge der Übermittlung der Daten durch Onlinebuchungsportal infolge eines Buchungsvorgangs
DSGVO-Verstoß 
DSGVO-Verstoß kann in Übermittlung der Daten an das Reisebüro liegen 
Schadensersatz
Bagatellverstoß nicht ausreichend und fehlende Kausalität zwischen Verstoß und Schaden (Daten waren bereits bekannt)
Verantwortlichkeit

ArbG Düsseldorf, Urteil vom 5. März 2020 – 9 Ca 6557/18, ZD 2020, 649; BeckRS 2020, 11910(anhängig beim LAG Düsseldorf – 14 Sa 294/20)
Ergebnis
5.000 Euro
SachverhaltVerspätete und fehlerhafte Unterrichtung über Datenverarbeitung durch Arbeitgeber infolge der Beendigung eines Arbeitsverhältnisses
DSGVO-Verstoß 
Verstoß gegen Art. 15 Abs. 1 DSGVO und Art. 12 Abs. 1, 3 DSGVO
Schadensersatz
Immaterieller Schaden wegen Ungewissheit über Verarbeitung der Daten (Finanzkraft des Verantwortlichen zu berücksichtigen)
Verantwortlichkeit
Nur fahrlässige Verstöße (keine Anhaltspunkte für Vorsatz)

OLG Dresden, Hinweisbeschluss vom 11. Dezember 2019 – 4 U 1680/19, ZD 2020, 413; BeckRS 2019, 36042(Verfahrensgang: LG Leipzig, Urteil vom 12. Juli 2019 – 8 O 2491/18, GRUR-RS 2019, 38785)
Ergebnis
SachverhaltDreißigtägige Sperrung eines Facebook-Nutzerkontos und Löschung eines Beitrags wegen Hassrede (Verstoß gegen die Nutzungsbedingungen)
DSGVO-Verstoß 
Kein DSGVO-Verstoß (Datenverarbeitung sei nach Art. 6 Abs. 1 lit. a) DSGVO zulässig wegen Zustimmung zu Nutzungsbedingungen)
Schadensersatz
Bagatellverstoß nicht ausreichend; Hemmung der Persönlichkeitsentfaltung habe nur Bagatellcharakter
Verantwortlichkeit

LG Karlsruhe, Urteil vom 2. August 2019 – 8 O 26/19, ZD 2019, 511; BeckRS 2019, 17459(anhängig beim OLG Karlsruhe – 8 U 108/19)
Ergebnis
SachverhaltUnterlassene Berichtigung eines fehlerhaften Basisscores zur Beurteilung der Kreditwürdigkeit durch Wirtschaftsauskunftei (Versagung eines Verbraucherdarlehens aufgrund des negativen Bonitätsscores)
DSGVO-Verstoß 
Kein DSGVO-Verstoß (insb. kein Verstoß gegen Art. 16 DSGVO, da zu unrichtigen oder unvollständigen Daten nicht vorgetragen wurde)
Schadensersatz
Keine benennbare, tatsächliche Persönlichkeitsverletzung 
Verantwortlichkeit
Beweislastumkehr gemäß Art. 82 Abs. 3 DSGVO; Exkulpationsmöglichkeit folge strengen Maßstäben

ArbG Lübeck, Beschluss vom 20. Juni 2019 – 1 Ca 538/19, ZD 2020, 422; BeckRS 2019, 36456
Ergebnis(✅)
1.000 Euro
SachverhaltUnterlassene Entfernung eines Mitarbeiterfotos mit Namen und Stellenbezeichnung vom Facebook-Profil des Arbeitgebers trotz des Widerrufs der ursprünglichen Einwilligung des Arbeitnehmers zur Veröffentlichung auf der Unternehmenshomepage
DSGVO-Verstoß (✅)
Möglicher Verstoß gegen Art. 6 Abs. 1 DSGVO und § 26 BDSG 
(„hinreichende Wahrscheinlichkeit″ im Rahmen eines Prozesskostenhilfebeschlusses)
Schadensersatz(✅)
Geringer immaterieller Schaden (keine schwerwiegende Persönlichkeitsverletzung)
Verantwortlichkeit(✅)
Eher geringes Verschulden des Arbeitgebers, da dieser Löschungsaufforderungen umgehend nachgekommen sei

OLG Dresden, Hinweisbeschluss vom 11. Juni 2019 – 4 U 760/19, ZD 2019, 567; BeckRS 2019, 12941; OLG Dresden: Kein Schadensersatzanspruch nach DSGVO (cmshs-bloggt.de)
(Verfahrensgang: LG Görlitz, Versäumnisurteil vom 22. März 2019 – 6 O 94/18)
Ergebnis
SachverhaltDreitägige Sperrung eines Facebook-Nutzerkontos und Löschung eines Beitrags (aufgrund eines Verstoßes gegen die Nutzungsbedingungen)
DSGVO-Verstoß 
Kein DSGVO-Verstoß (Datenverarbeitung sei nach Art. 6 Abs. 1 lit. a) DSGVO zulässig wegen Zustimmung zu Nutzungsbedingungen)
Schadensersatz
Bagatellverstoß nicht ausreichend; Hemmung der Persönlichkeitsentfaltung habe nur Bagatellcharakter (mangels Kommerzialisierung der Nutzerdaten)
Verantwortlichkeit

AG Bochum, Beschluss vom 11. März 2019 – 65 C 485/18, BeckRS 2019, 14869
Ergebnis
SachverhaltUnverschlüsselte Übersendung einer Bestellungsurkunde (zwecks Offenlegung des Betreuungsverhältnisses) an Prozessbevollmächtigten durch Betreuerin
DSGVO-Verstoß 
Kein DSGVO-Verstoß (Datenverarbeitung sei nach Art. 6 Abs. 1 lit. b) DSGVO zulässig; Verstoß gegen Art. 32 DSGVO zumindest möglich); keine „hinreichende Wahrscheinlichkeit″ im Rahmen eines Prozesskostenhilfebeschlusses
Schadensersatz
Kein Schaden (Bekanntwerden der unverschlüsselt übermittelten Daten weder dargelegt noch ersichtlich)
Verantwortlichkeit

AG Diez, Urteil vom 7. November 2018 – 8 C 130/18, ZD 2019, 85; BeckRS 2018, 28667; Kein Schadensersatzanspruch für Bagatellverstoß gegen DSGVO (cmshs-bloggt.de)
Ergebnis
SachverhaltEinmalige E-Mail-Werbung (Betrag in Höhe von 50 Euro bereits durch Verantwortliche anerkannt)
DSGVO-Verstoß 
Verstoß gegen Art. 6 DSGVO nicht ausdrücklich festgestellt
Schadensersatz
Bagatellverstoß nicht ausreichend (spürbarer Nachteil bzw. einigermaßen gewichtige Beeinträchtigung des Persönlichkeitsrechts erforderlich)
Verantwortlichkeit

Eine ständig aktualisierte Übersicht über DSGVO-Bußgelder in Deutschland und anderen EU-Ländern finden Sie auch über unseren Enforcement-Tracker″.

Tags: DSGVO Kollektive Rechtsdurchsetzung Sammelklage Schadensersatz


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.