E-mail Irrläufer sind ebenso wie über einen Messenger schnell passiert. Ein Händler hat sich 2018 bei einer Bank beworben via Xing und wegen eines versehentlichen „Klicks“ auf die falsche Person, sendete die Bank irrtümlich eine Nachricht an einen Bekannten des Händlers, der pikanterweise bei der gleichen Bankengruppe beschäftigt war. Die eigentlich für den Kläger bestimmte Nachricht enthielt den Text:
„
Lieber Herr B, ich hoffe es geht Ihnen gut! Unser Leiter – Herr C – findet ihr Händler Profil sehr interessant. Jedoch können wir Ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, D
”
Der Empfänger kannte den Herrn B. und späteren Kläger des Rechtsstreits gegen die Bank und fragte bei ihm zurück. „Du?“ So bekam der Kläger – wie oft bei solchen Irrläufern – zufällig Kenntnis von der Datenpanne. Während das Landgericht nach erfolgloser Abmahnung und Klage auf Unterlassung, Kostenerstattung und Schadenersatz die Bank u.a. zu 1.000 Euro immateriellem Schadenersatz verurteilt hatte, hat der 13. Senat des Oberlandesgerichts Frankfurt am Main nun dieses Urteil des Landgerichts Darmstadt vom 26. Mai 2020 im Hinblick auf den Schadenersatz aufgehoben. Im Übrigen bestätigte er aber auch die Verurteilung der Bank zur Unterlassung und Kostenerstattung in Bezug auf die Anwaltskosten für die Abmahnung in Höhe von 1.025,55 € nebst Zinsen (OLG Frankfurt, 13. Zivilsenat, Urteil vom 02.03.2022, Az. 13 U 206/20 – noch nicht rechtskräftig).
Begründung des Senats stark verkürzt zusammengefasst: Zwar bestehe ein Unterlassungsanspruch, weil den Umständen nach aufgrund der persönlichen Bekanntheit des irrtümlichen Empfängers der über XING gesendeten Nachricht, dieser den Betroffenen „Herr B…“ anhand Name, Anrede und Kontext der Nachricht identifizieren konnte. Identifizierbar seien solche Nachrichten auch dann, wenn der Nachname häufig vorkommt. Es ist nämlich auch nicht erforderlich, dass die zur Identifizierbarkeit erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. EUGH, Urteil vom 20. Dezember 2017 – Rs. C-434/16, NJW 2018, 767 – Nowak). Es ist auch nicht erforderlich, dass die Identifizierbarkeit zweifelsfrei erfolgt, denn vorliegend ist es dem Dritten ja unmittelbar gelungen, den Kläger zu identifizieren, auch wenn er sicherheitshalber nachgefragt hat, indem er die Nachricht an ihn weitergeleitet hat und dazu die Frage schrieb: „Du?“
Der Kläger habe aber keinen immateriellen Schaden im Sinne von Art. 82 DSGVO vorgetragen. Damit folgt der 13. Senat der bei den Zivilgerichten vorherrschenden Auffassung, dass allein der Kontrollverlust und die Ungewissheit bei einer Datenpanne, wer die durch den Datenschutzverstoß erlangten Daten unbefugt genutzt oder sogar noch weitergegeben hat, kein ersatzfähiger immaterieller Schaden sei.
Anmerkung zum Urteil von Rechtsanwältin Hagendorff: Diese Sichtweise, es sei doch kein Schaden entstanden, erscheint hier nicht überzeugend. Denn der Kläger wurde ja nicht eingestellt und hatte die Ungewissheit, ob der Bekannte, der im Rahmen der Unternehmensgruppe seines Arbeitgebers arbeitete, die Daten vertraulich behandelte oder möglicherweise dem jetzigen Arbeitgeber einen Hinweis gegeben hat, dass der Kläger sich anderweitig bewerbe und mit welchen Gehaltsvorstellungen. Das wäre sicher für seine Karriere im Unternehmen seines bisherigen Arbeitgebers nicht förderlich, sondern eher schädigend gewesen. Wechselwillige Mitarbeiter werden nicht befördert und müssen berufliche Nachteile beim bisherigen Arbeitgeber erwarten. Es ist doch lebensfern, vom geschädigten Kläger zu erwarten, das dezidiert darzulegen, denn es liegt auf der Hand. Da es rechtswidrig weitergegebene Informationen sind, würde in so einem Fall ihm kaum jemand bei seinem Arbeitgeber darauf hinweisen. Nach Erwägungsgrund 146 S. 6 soll der immaterielle Schadenersatzanspruch sicherstellen, dass der verletzte Betroffene einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält und dieser abschreckend sein soll. Im Ergebnis wird also der effektive Rechtsschutz entgegen dem Effektivitätsgebot und den Grundsätzen des EUGH zum „effet utile“ verkürzt auf die wenigen Fälle, in denen der Betroffene zufällig an die Informationen zum Schadenseintritt gelangt. Das erscheint mir nicht europarechtskonform und nicht sonderlich überzeugend zu sein. In der Praxis unterstützt das nämlich die Haltung, die leider in vielen Unternehmen und Behörden vorherrscht: Stößt man zufällig auf einen Datenschutzverstoß und macht die Löschung und einen Schadenersatzverstoß geltend, heisst es regelmäßig, es sei doch ein Versehen gewesen, ein Einzelfall und es sei doch „kein Schaden“ entstanden….Der Datenschutz wird ohne Sanktion eben nicht hinreichend ernst genommen. Dies hat hier auch die Beweisaufnahme durch Vernehmung des Zeugen beim Landgericht bestätigt: Es gab laut Gericht 1. Instanz keine richtigen Schulungsmaßnahmen oder anderweitige Vorkehrungen bei der Beklagten, die der betreffenden Mitarbeiterin oder weiteren Mitarbeitern effektive Maßnahmen an die Hand gegeben hätten, eine Wiederholung von Irrläufern und Pannen dieser Art zu vermeiden. Ohne Schadenersatzrisiken wird sich daran wahrscheinlich in Zukunft auch nicht viel ändern. Von dem Urteil des OLG geht daher das falsche Signal aus.
Auch das angeführte Argument, dass sonst ein Ausufern bei für den Betroffenen tatsächlich folgenlosen Datenpannen zu befürchten sei, geht an der Rechtswirklichkeit vorbei. Denn wegen des Aufwands eines Rechtsstreits sind nur wenige Betroffene bereit, in solchen Fällen zu klagen – jedenfalls solange es um verhältnismäßig geringe Beträge wie hier 1.000 Euro laut Landgerichts Urteil oder 2.500 Euro wie vom Kläger in der Anschlussberufung beantragt – geht.
Positiv aber ist, dass die häufig ebenfalls zu hörende Standardausrede, der Anspruch werde mißbräuchlich geltend gemacht, vom OLG auch nicht akzeptiert wurde und sowohl die Abmahnung als berechtigt und damit wenigstens auch die Anwaltskostenerstattung bestätigt worden ist (hier aus einem Streitwert von 15.000 € also 10.000 für die Unterlassung, 5.000 für die Auskunft). Möglicherweise hätte hier der Kläger zu seiner Angst vor beruflichen Nachteilen bei seinem bisherigen Arbeitgeber bei Kenntnisnahme von der Bewerbung näher vortragen sollen – so meint der Senat. Dass der Kläger sich mit solchen Darlegungen dann aber zusätzlich selbst weiter geschädigt hätte, obwohl dies naheliegt, hat der Senat hierbei aber nicht bedacht. Schließlich sind sowohl die mündlichen Verhandlungen öffentlich als auch die Urteile – auch wenn der Name der Parteien anonymisiert wird, wird er für Insider der Branche oft bekannt. Positiv ist auch, dass der Senat bestätigt hat, dass in Fällen wie diesen die Hinzuziehung eines Rechtsanwalts wegen der Schwierigkeit der Angelegenheit zur zweckentsprechenden Rechtsverfolgung erforderlich ist und dessen Kosten erstattungsfähig sind in der gesetzlichen Höhe nach dem RVG.
Eine Ausuferung von Schadenersatzklagen bei solchen Beträgen ist wegen des unverhältnismäßigen Aufwands nicht zu befürchten, wenn für Fälle dieser Art ein Schadenersatz von 1.000-2.000 Euro zu erstatten ist. Erst bei höheren Beträgen ziehen erfahrungsgemäß überhaupt eine relevante Anzahl von Menschen und Anwälten die Rechtsverfolgung und aufwendigen Klageverfahren in Betracht. Insgesamt überzeugt mich das Urteil aber wegen der Abweisung des immateriellen Schadenersatzes aber nicht.
Noch ein Hinweis: Wie das Gericht zu Recht anmerkt, sieht das Bundesarbeitsgericht, weitere Arbeitsgerichte und Oberlandesgericht München ebenfalls bereits den Kontrollverlust wegen einer unbefugten Weitergabe personenbezogenen Daten oder eine Datenschutzverletzung durch verspätete oder unvollständige Auskünfte nach Art. 15, 82 DSGVO als erstattungsfähigen immateriellen Schaden an und hat wegen der grundsätzlichen Bedeutung der Senat auch die Revision zum Bundesgerichtshof zugelassen. Die Frage ist also noch nicht abschließend geklärt. Zudem gibt es auch bereits einschlägige Vorlageverfahren beim Europäischen Gerichtshof dazu.
