Schlagwort: Schadensersatz

OLG Innsbruck: Kein automatischer Anspruch auf Schadenersatz bei DSGVO-Verletzung

am von Alix Frank Rechtsanwälte GmbHin Allgemein, Datenschutz, Schadenersatz

Mehr als einenhalb Jahre nach Inkrafttreten der DSGVO klären sich immer mehr offene Fragen zu diesem Thema. So hat jüngst das Oberlandesgericht Innsbruck in einem Verfahren gegen die österreichische Post entschieden, dass ein Verstoß gegen die DSGVO nicht zwingend mit einem Anspruch auf Schadenersatz seitens der betroffenen Person einhergeht. Verletzungen der DSGVO können natürlich Ursache für Schadenersatzansprüche sein, diese aber allein noch nicht begründen. Außerdem ist der durch den Verstoß entstandene Schaden ausreichend zu behaupten und zu beweisen.

Beklagte Partei war die österreichische Post AG. Diese hatte wegen ihres datenschutzwidrigen Werbe-Profilings für Aufsehen gesorgt. Dabei wurden anhand der vorhandenen Kundendaten (Wohnsitz, Geschlecht, Alter, Bildung, etc.) Statistiken bezüglich Kaufverhalten und Parteiaffinität erstellt. Für diese DSGVO-Verletzung wurde die Post zu einer Verwaltungsstrafe von 18 Millionen Euro verurteilt. Dieses Urteil ist jedoch noch nicht rechtskräftig, die Post AG will dagegen berufen. Mehr dazu unter: https://www.diepresse.com/5713847/post-in-datenskandal-zu-18-millionen-euro-strafe-verurteilt

Ein von diesem Werbe-Profiling betroffener vorarlberger Rechtsanwalt klagte daraufhin die Post auf Schadenersatz. Ihm sei durch die Errechnung und Speicherung seiner Parteiäffinität ein immaterieller Schaden entstanden. Das Bezirksgericht gab dem Kläger zwar Recht, jedoch scheiterte er jüngst in der zweiten Instanz. Das OLG Innsbruck sprach aus, dass der Kläger den ihm entstandenen immateriellen Schaden nicht ausreichend behauptet und bewiesen hat.

Das Gericht betonte die Bedeutung des Rechts auf Wahrung der Geheimsphäre und auf Datenschutz. Es hielt auch fest, dass die Verletzung von Persönlichkeitsrechten einen immateriellen Schaden darstellen kann. Derartige Schäden könnten aber nur dann geltend gemacht werden, wenn sie „sicher und tatsächlich“ eingetreten sind. Für hypothetische und unbestimmte Schäden gibt es keinen Schadenersatz. Es muss zu einer nachweisbaren Beeinträchtigung in der Gefühlswelt des Betroffenen kommen. Darunter fallen nach Unionsrechtsprechung unter anderem jene Situationen, wenn jemand einem Zustand der Angst ausgesetzt wird, die Integrität einer Person in Zweifel gestellt wird, seine sozialen oder familiären Beziehungen beeinträchtigt werden oder man einen Schock erleidet.

Als Beispiel hierfür nennt das OLG Innsbruck die „Bloßstellung“ der betroffenen Person, wenn Daten unrechtmäßig Dritten zugänglich gemacht werden. Eine solche oder eine ähnliche Auswirkung behauptete der Kläger aber nicht einmal. Er verwies nur rudimentär auf ein entstandenes „Ungemach“, erbrachte jedoch nicht den geforderten genauen Beweis von entstandenen Schäden. Außerdem wies das Gericht auf andere dem Kläger offenstehende Sanktionsmöglichkeiten hin. Der Kläger habe nämlich einen Unterlassungs- und Beseitigungsanspruch gegen die Post AG, den er jedoch in diesem Verfahren nicht geltend gemacht hatte.

Immaterieller Schadenersatz bei Verstößen gegen die Datenschutzgrundverordnung

am von Alix Frank Rechtsanwälte GmbHin Allgemein, DSGVO, EU-DSGVO

Von Franz J Heidinger / Laurin Maran: Vom 21. August bis zum 5. September 2018 hatten Cyberkriminelle Zugriff auf personenbezogene Daten von Kunden der britischen Fluggesellschaft British Airways, die in diesem Zeitraum Flüge über die Homepage oder die App gebucht hatten. Es seien rund 380.000 Bank- und Kreditkartenzahlungen betroffen, aber auch Namen, Rechnungsanschriften und E-Mail-Adressen.

Einer von vielen Datenskandalen in den letzten Jahren. Einer dieser Datenskandale, bei dem sich das Unternehmen reumütig entschuldigt und verspricht, dass so etwas nie wieder vorkommen wird: „Please accept our deepest apologies for the worry and inconvenience that this criminal activity has caused,” heißt es in einer Mail an die betroffenen Kunden von British Airways. In der Regel hörte man dann nichts weiter davon.

Seit 25. Mai 2018 ist allerdings die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft, die zumindest derzeit auch noch im Vereinigten Königreich anzuwenden ist und die bei Verstößen drakonische Geldbußen der Behörden vorsieht (Mehr zum Thema Brexit und die damit verbundenen rechtlichen Folgen auf: http://www.brexit-alixfrank.at/). British Airways muss nun aber nicht nur die britische Datenschutzbehörde fürchten, sondern auch die 380.000 Kunden, deren Daten gestohlen wurden. Gemäß Art. 82 EU-DSGVO hat nämlich jede Person, der wegen eines Verstoßes gegen die EU-DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.

Mehrere britische Rechtsanwaltskanzleien sind derzeit auf der Suche nach betroffenen Kunden und bereiten Sammelklagen gegen die Fluggesellschaft vor. Das Bemerkenswerte daran ist, dass nicht die finanziellen Schäden geltend gemacht werden sollen, die beispielsweise durch den Missbrauch von Kreditkartendaten entstehen können, sondern immaterielle Schäden. Man möchte also eine Entschädigung für die mit dem Data Breach erlittenen Unannehmlichkeiten, Sorgen und Ärgernisse durchsetzen. Aus Insiderkreisen hört man, dass bis zu GBP 5.000,- pro Person eingeklagt werden sollen. Geht man davon aus, dass sich 200.000 Geschädigte dem Verfahren anschließen, ergibt das einen Streitwert von GBP 1 Milliarde (rund EUR 1.142.665.000,-), zuzüglich Verfahrenskosten. Ein Betrag, den British Airways unter Umständen für das mulmige Gefühl der Kunden bezahlen muss, die ihre personenbezogenen Daten in den falschen Händen wissen. Sollten Sie tatsächlich Opfer eines Kreditkartenbetruges werden, wäre dieser Schaden natürlich zusätzlich von Britisch Airways zu bezahlen

In Österreich wurde bislang kein Fall bekannt, bei dem ein Unternehmen auf Grundlage der EU-DSGVO für einen immateriellen Schaden in Anspruch genommen wurde. Es ist jedoch damit zu rechnen, dass Betroffenen bald auf diversen Internetplattformen angeboten wird, neben ihren Ansprüchen aus verspäteten Flügen oder überhöhten Mietzinsen auch Ansprüche wegen Verstößen gegen die EU-DSGVO durchzusetzen.

Ein Unternehmen wird in einem solchen Fall nur dann von seiner Haftung befreit werden, wenn es nachweist, dass es in keiner Weise für den Schaden verantwortlich ist. Es kommt sozusagen zu einer Beweislastumkehr: Der Betroffene muss lediglich beweisen, dass ein Schaden vorliegt, der vom Unternehmen verursacht wurde. Das Unternehmen muss dann nachweisen, dass es in keiner Weise verantwortlich ist und die Regeln der EU-DSGVO eingehalten hat.

Wer darauf nicht vorbereitet ist, kann massive Probleme bei der Abwehr solcher Ansprüche bekommen. Wenn man bedenkt, dass die Datenschutzbehörde eine Geldbuße verhängt, Betroffene Ansprüche für materielle und immaterielle Schäden geltend machen und aufgrund der hohen Sensibilität der Öffentlichkeit mit Umsatzeinbußen zu rechnen ist, könnte ein kleiner Verstoß gegen die EU-DSGVO Folgen haben, die für ein kleines oder mittelständischen Unternehmen nur schwer zu stemmen sind.