Schadensersatz bei verspäteter Datenauskunft nach der DSGVO

Das OLG Köln hat mit Urteil vom 14.07.2022 als – soweit ersichtlich – erstes deutsches Gericht einer Betroffenen einen Schadensersatzanspruch wegen verspäteter Auskunft nach der DSGVO zugesprochen. Macht dieses Urteil Schule, kann dies für Unternehmen ein Schadensersatzrisiko bedeuten, wenn berechtigte Ansprüche von Betroffenen auf Erteilung von Auskünften über die Verarbeitung ihrer personenbezogenen Daten nicht oder zu spät befriedigt werden.

Worum geht es?

Nach Art. 12 III und 15 DSGVO hat ein Verantwortlicher für die Verarbeitung von personenbezogenen Daten grundsätzlich innerhalb eines Monats ab Eingang des Antrags auf Datenauskunft die entsprechenden Auskünfte zu erteilen. Eine Überschreitung dieser Frist ist nur in begründeten Ausnahmefällen möglich. Art. 82 I DSGVO bestimmt allgemein, dass jede natürliche Person gegen den Verantwortlichen einen Anspruch auf Ersatz eines materiellen oder immateriellen Schadens hat, wenn er gegen die DSGVO verstößt. Bislang war unklar, ob einem Betroffenen ein Anspruch auf Ersatz eines immateriellen Schadens (eine Art „Schmerzensgeld“) auch dann zusteht, wenn die Auskunft verspätet erteilt wird.

Was ist in dem konkreten Fall passiert?

Das OLG Köln bejaht in dem konkreten Fall einen solchen Anspruch in Höhe von 500,- Euro. Geklagt hat eine ehemalige Mandantin gegen einen Rechtsanwalt, der sie in einer Verkehrsunfallsache vertreten hatte. Nach Beendigung des Mandats verlangte die Klägerin u.a. Auskunft über ihre beim Rechtsanwalt gespeicherten personenbezogenen Daten, um aus der Verkehrsunfallsache Ansprüche gegen Dritte geltend zu machen. Der Rechtsanwalt erteilte die Auskunft aber erst nach 9 Monaten. Das Gericht meint, dass ein immaterieller Schadensersatzanspruch grundsätzlich bei jedem Verstoß gegen die DSGVO in Frage kommt, nicht nur dann – wie noch das Landgericht Bonn in erster Instanz angenommen hat –, wenn die Daten DSGVO-widrig verarbeitet worden sind. Auch eine verzögerte Auskunft sei ein DSGVO-Verstoß und somit grundsätzlich schadensersatzpflichtig nach Art. 82 I DSGVO. Ob es für solche Verstöße eine Bagatellgrenze gibt, ließ das Gericht ausdrücklich offen, weil die Verzögerung mit 9 Monaten erheblich war und die Klägerin dadurch stark in ihren Rechten beeinträchtigt wurde.

Das Gericht hat wegen der Bedeutung der Rechtsfrage die Revision zum BGH zugelassen.

Was folgt daraus?

Unternehmen müssen sich bei einer verzögerten Datenauskunft darauf einrichten, mit Schadensersatzansprüchen Betroffener konfrontiert zu werden. Dazu zählen nicht nur Vermögensschäden, die der Betroffene allerdings konkret nachweisen muss, sondern auch sog. „immaterielle“ Schäden, also Schäden, die durch die Beeinträchtigung seiner Persönlichkeitsrechte entstanden sind. Möglich ist auch, dass derartige Schadensersatzansprüche von darauf spezialisierte Rechtsdienstleister oder Verbände geltend gemacht werden. Werden diese Ansprüche massenhaft von professionellen Klägern im Wege einer Sammelklage geltend gemacht, stellt dies ein erhebliches Risiko für Unternehmen dar.

Im Fall der verspäteten Datenauskunft steht eine höchstrichterliche Klärung zwar noch aus. Unternehmen sind aber gut beraten, ein Auskunftskonzept zu entwickeln, um berechtigte Datenauskünfte rechtzeitig bearbeiten zu können. Dazu gehört überhaupt zu wissen, wo welche Daten des Betroffenen gespeichert sind und wie diese in welchem Format zur Verfügung gestellt werden müssen.

Alle Meldungen im Überblick