Neben den drakonischen Bußgeldern, zahlreichen Informations- und Dokumentationspflichten kam mit der DSGVO auch das Thema von Schadensersatzansprüchen gegenüber Betroffenen ins Spiel. Das Amtsgericht Bochum hatte jetzt über einen entsprechenden Fall zu entscheiden.
Der Inhalt im Überblick
Der Fall: Weitergabe personenbezogener Daten
Der Betroffene und spätere Antragsteller wurde von der Antragsgegnerin behördlich betreut. Dabei erstreckte sich die Betreuungsleistung inhaltlich auf Vermögens- und Wohnungsangelegenheiten. Ferner galt die Betreuung durch die spätere Antragsgegnerin auch für die Vertretung gegenüber Behörden und Sozialversicherungsträgern, gerichtlich und sowie außergerichtlich. Bis Juni 2018 galt die Bestallungsurkunde als Ausweis, danach wurde die Betreuung aufgehoben.
Im Rahmen eines Antrags auf Prozesskostenhilfe machte der Antragsteller geltend, dass die Antragsgegnerin personenbezogene Daten von ihm an dessen Vermieter und an weitere Stellen weitergegeben hätte, indem sie die gerichtliche Bestallungsurkunde an eine andere Person per unverschlüsselter E-Mail übersandt hatte. Daraufhin machte der Antragsteller Schadensersatz nach Art. 82 DSGVO geltend.
Die Entscheidung: Schadensersatz nicht schlüssig dargelegt
Mit Beschluss vom 11.03.2019 (65 C 485/18) entschied das AG Bochum, dass dem Antragsteller der Antrag auf Prozesskostenhilfe nicht gewährt werden kann, da im Ergebnis der Anspruch auf Schadensersatz nicht schlüssig dargelegt worden sei.
Der Betroffene konnte nicht darlegen, dass unrechtmäßig Daten offengelegt wurden – vielmehr ging das Gericht davon aus, dass die Bestallungsurkunde nur im Rahmen des Betreuungsverhältnisses eingesetzt wurde. Etwaige Übermittlungen und Offenlegungen waren daher auf Grund von Art. 6 Abs. 1 lit. c) DSGVO zulässig und haben gerade nicht einer Einwilligung des Betroffenen bedurft.
Auch die Mitteilung der Beendigung der Betreuung sei von dieser Rechtsgrundlage gedeckt. Zwar sei die Übersendung der Bestallungsurkunde an den jetzigen Prozessbevollmächtigten des Antragstellers als unverschlüsselte E-Mail wohl ein Verstoß gegen Art. 32 DSGVO. Dass auf Grund der Wahl des unsicheren Versandes persönliche Daten und Informationen unbefugten Dritten tatsächlich bekannt geworden sind, wurde nach Ansicht des Gerichts weder dargelegt noch sei dies ersichtlich. Letztlich konnte nicht festgestellt werden, dass wegen eines eventuell gegebenen Verstoßes ein irgendwie gearteter materieller oder immaterieller Schaden beim Betroffenen entstanden ist.
Fazit: Schaden muss eintreten
Dieser Fall zeigt, dass zwar mit der DSGVO Schadensersatzregelungen für Betroffene geschaffen wurden, diese aber den normalen rechtlichen Voraussetzungen aus dem Schadensrecht folgen. Für die Geltendmachung eines Schadensersatzanspruches nach Art. 82 Abs. 1 DSGVO muss ein Schaden eingetreten sein. Diesen muss der Betroffene im Zivilprozess darlegen und erst dann ist der Verantwortliche nach Art. 82 Abs. 3 DSGVO in der Pflicht, einen Entlastungsbeweis zu führen, nach dem er nicht für den Schadenseintritt verantwortlich ist.