Kein Ersatzanspruch nach DSGVO ohne konkreten Schadensnachweis
Nach Art. 82 Abs. 1 hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen. Und dies – verschuldensunabhängig.
Ein Anspruch auf Ersatz auf Basis der DSGVO setzt jedoch einen konkreten Schadensnachweis voraus. Die bloße theoretische Möglichkeit eines Schadens reicht nicht aus. Dies entschied das AG Bochum in seinem Beschluss vom 11.03.2019 (AG Bochum, Beschluss v. 11.03.2019, Az. 65 C 485/18).
Weitergabe von Daten durch Betreuer ohne Einwilligung des Betreuten
Der Antragsteller wurde von der Antragsgegnerin behördlich betreut. Die Aufgabenkreise umfassten Vermögensangelegenheiten, Wohnungsangelegenheiten und Vertretung gegenüber Behörden und Sozialversicherungsträgern. Die Betreuerin vertrat den Betreuten im Rahmen ihres Aufgabenkreises gerichtlich und außergerichtlich. Die Bestellungsurkunde diente als Ausweis. Seit Juni 2018 ist die Betreuung aufgehoben.
Der Antragsteller machte geltend, dass die Antragsgegnerin personenbezogene Daten von ihr an dessen Vermieter und an weitere Stellen weitergegeben hätte, indem sie die gerichtliche Bestellungsurkunde an eine andere Person per unverschlüsselter E-Mail übersandt hatte. Daraufhin machte der Antragsteller Schadensersatz nach Art. 82 DSGVO geltend.
Schadensersatz nur bei konkretem Schadensnachweis
Das Begehren des Antragstellers blieb erfolglos. Es kann nach Auffassung des Gerichts dahinstehen, ob eine Verletzung des Art. 32 DSGVO tatsächlich vorliegt. Ein Schadensersatzanspruch bestünde nur dann, wenn ein konkreter materieller oder immaterieller Schaden nachweisbar wäre. Dass aufgrund der ungesicherten Versendung der Email persönliche Daten und Informationen bez. des Antragstellers unbefugten Dritten tatsächlich bekannt geworden sind, sei weder schlüssig dargelegt noch ersichtlich. Die bloße theoretische Möglichkeit reiche hingegen nicht aus:
„Damit ergibt sich aber auch nicht, dass dem Antragsteller wegen eines eventuell gegebenen Verstoßes ein irgendwie gearteter materieller oder immaterieller Schaden entstanden ist.”
Weder welche konkreten Daten und Informationen wann genau herausgegeben worden sein sollen noch an welche weiteren Stellen die Herausgabe erfolgte, sei von dem Antragsteller substantiiert dargelegt. Ein Anspruch aus Art. 82 DSGVO scheide somit aus.
Fazit
Sollte es zu einem Klageverfahren aufgrund eines DSGVO-Verstoßes kommen, hat zunächst der Kläger zu beweisen, dass ein Verstoß gegen die Datenschutz-Grundverordnung tatsächlich vorliegt. Diesen Beweis wird der Kläger ohne allzu große Mühe erbringen können, schließlich unterliegen die Verantwortlichen umfassenden Informationspflichten. Darüber hinaus muss der Kläger den Beweis des konkreten materiellen oder immateriellen Schadens erbringen.
Die Betroffenen wiederum müssen den Beweis erbringen, dass sie sich an die Vorgaben der Datenschutz-Grundverordnung gehalten haben, was sich in der Praxis durchaus schwierig gestalten dürfte. Aus diesem Grunde sollten die Verantwortlichen ihren Dokumentationspflichten unbedingt nachkommen. Ohne eine entsprechende Dokumentation wird ihnen der Beweis so gut wie nicht möglich sein.