Entscheidung zum Schadensersatz nach der DS-GVO
Das Amtsgericht Bochum hatte nun über einen solchen Schadensersatzfall zu entscheiden (Amtsgericht Bochum, Entscheidung vom 11.03.2019, 65 C 485/18).
Der Sachverhalt
Ein Betroffener ließ sich durch seinen späteren Gegner behördlich in Sachen Vermögens- und Wohnungsangelegenheiten betreuen. Es gab eine Bestellungsurkunde und die Vertretung galt gerichtlich und außergerichtlich auch gegenüber Versicherungsträgern der Sozialversicherung und Behörden.
Als Grund für die Schadensersatzforderung nannte der Betroffene, dass seine personenbezogenen Daten ohne seine Zustimmung an seinen Vermieter und andere Stellen weitergegeben wurden, und das zudem noch per unverschlüsselter E-Mail. Darin sah der Betroffene eine Verletzung seiner Rechte und Freiheiten.
Die Entscheidung des Amtsgerichts
Der Betroffene stellte zunächst einen Antrag auf Prozesskostenhilfe, worüber das Amtsgericht Bochum zu entscheiden hatte. Dieser Antrag wurde in der Entscheidung schließlich vom Gericht abgelehnt, weil der Anspruch auf Schadensersatz nicht ausreichend dargelegt wurde.
Es konnte durch den Betroffenen weder deutlich gemacht werden, dass seine Daten unrechtmäßig einem Dritten offengelegt wurden, noch dass ihm ein materieller oder immaterieller Schaden entstanden ist.
Die Weitergabe der Daten durch den Bevollmächtigten erfolgte auf der Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. c DS-GVO, stellte das Gericht fest. Ein Verstoß gegen die DS-GVO kann jedoch in der unverschlüsselten Weitergabe der Daten liegen. Ohne die Verschlüsselung läge ein Verstoß gegen Art. 32 DS-GVO vor, da keine ordnungsgemäßen technischen und organisatorischen Maßnahmen für die Übermittlung eingesetzt wurden.
Das Gericht konnte hier aber keinen Schaden für den Betroffenen erkennen, da er nicht dargelegt hat, ob seine Daten damit einem unbeteiligten Dritten offengelegt wurden.
Welche Schlüsse lassen sich aus dieser Entscheidung ziehen?
Zunächst lässt sich feststellen, dass auch der Schadensersatzanspruch aus dem Datenschutzrecht nach den ganz normalen schadensrechtlichen Kriterien bewertet wird. D. h. der Betroffene muss vor Gericht darlegen, dass ein Schaden bei ihm eingetreten ist. Erst wenn er dies getan hat, ist der Verantwortliche für die Datenverarbeitung in der Pflicht, sich durch Nachweise selbst zu entlasten.
Diese Entscheidung zeigt, dass Betroffene im Falle von Schadensersatzforderungen bei Datenschutzverstößen keine völlig überbordenden Rechte genießen. Andererseits ist von Verantwortlichen zu beachten, dass im Falle von Datenschutzverstößen nicht nur Bußgelder, sondern auch Schadensersatzansprüche auf sie zukommen können, wenn den Betroffenen hierdurch tatsächlich ein Schaden entstanden ist.