OLG Köln, Urteil vom 13.07.2022 – 15 U 137/21
Das Oberlandesgericht Köln (OLG Köln) hat in einer Entscheidung vom 13.07.2022 die verspätete datenschutzrechtliche Auskunft nach Art. 15 Datenschutz-Grundverordnung (DSGVO) mit einem Schadensersatzanspruch in Höhe von 500,00 € bewertet. In dem vom Gericht entschiedenen Fall hatte ein Rechtsanwalt gegenüber, dem das Mandatsverhältnis durch die klagende betroffene Person gekündigt worden war, das datenschutzrechtliche Auskunftsersuchen erst nach rund neun Monaten erfüllt. Bereits diese Verzögerung reichte nach Ansicht des Gerichts aus, um einen Schadensersatzanspruch wegen immaterieller Schäden durch die betroffene Person zu begründen.
I. RECHTLICHER RAHMEN
Nach Art. 15 Absätze 1 und 3 in Verbindung mit Art. 12 Absatz 3 Satz 1 DSGVO müssen Auskunftsersuchen innerhalb eines Monats nach der Antragsstellung durch die betroffene Person beantwortet werden. Nur in Ausnahmefällen können Auskunftsersuchen innerhalb einer Frist von insgesamt drei Monaten beantwortet werden, wenn dies angesichts der Komplexität und Anzahl von Auskunftsersuchen erforderlich ist. In diesem Fall muss der betroffenen Person allerdings innerhalb eines Monats ab Eingang des Auskunftsersuchens mitgeteilt werden, dass sich die Auskunft verzögert.
Schadensersatz in Form von Schmerzensgeld hat die der für die Verarbeitung Verantwortliche der betroffenen Person gemäß Art. 82 Absatz 1 „wegen eines Verstoßes“ gegen die DSGVO zu zahlen. In der Rechtsprechung nicht abschließend geklärt ist die Frage, ob hierzu die Datenverarbeitung selbst rechtmäßig sein muss und ob für die Durchsetzung der Schadensersatzforderung eine über eine Bagatelle hinausgehende Beeinträchtigung erforderlich ist.
II. ENTSCHEIDUNG DES GERICHTS
Das Gericht hat in dem vorliegenden Fall dahingehend entschieden, dass die Verzögerung bei der Auskunftserteilung bereits einen Verstoß „gegen die DSGVO“ darstellt, der grundsätzlich zum Schadensersatz berechtigen kann. Für nicht erforderlich hält das Gericht eine rechtswidrige Datenverarbeitung in der Sache, denn eine derartige Einschränkung der Haftungsgründe finde sich in dem Text der Verordnung nicht. Da das Auskunftsrecht der betroffenen Person es gerade ermöglichen solle, die Rechtmäßigkeit der Datenverarbeitung zu prüfen, sei zur Durchsetzung der Betroffenenrechte ein Schadensersatzanspruch dem Grunde nach angemessen.
Nicht entschieden hat das Gericht zu der Frage, ob eine Bagatellschwelle für die Durchsetzbarkeit eines Schadensersatzanspruches besteht. Denn im vorliegenden Fall sei ein „Kontrollverlust“ der betroffenen Person allein durch die Verzögerung der Auskunft eingetreten, in der Form, dass ein Einfluss auf die wirtschaftliche Position der betroffenen Person durch Zeitverzögerung bei der Realisierung ihrer Ansprüche bestanden habe. Bemerkenswert ist dabei, dass ein tatsächlicher, materieller Schaden nicht eingetreten war und insoweit auch nicht geltend gemacht wurde, daher allein für das Risiko und die Verzögerung ein Schmerzensgeld in Höhe von 500,00 € durch das Gericht als angemessen erachtet wurde.
III. PRAXISHINWEIS
Die Entscheidung des Gerichts dokumentiert die Haftungsrisiken datenverarbeitender Stellen für suboptimale und fehlerhafte interne Prozesse. Denn allein durch die interne Bearbeitung bei der Beantwortung der Datenverarbeitung können sich erhebliche zeitliche Verzögerungen ergeben. Dabei kennt die DSGVO keine automatische Verlängerung der Frist wegen personeller Engpässe wegen Krankenstands oder ähnlichen unbeeinflussbaren Sachlagen. Allein aus derartigen Verzögerungen können betroffene Personen künftig versuchen in vielen Fällen Schadensersatzansprüche geltend zu machen. Diese treten neben etwaige materielle Schadensersatzansprüche, soweit die betroffene Person einen tatsächlichen finanziellen Schaden wegen der verspäteten Auskunft erlitten hat. Insbesondere Unternehmen, die in großem Umfang personenbezogene Daten verarbeiten, sehen sich daher umfassenden Haftungsrisiken ausgesetzt.
Zur Vermeidung derartiger Haftungsrisiken sollten daher die etablierten Prozesse geprüft und erforderlichenfalls optimiert werden. Nur so kann die Einhaltung der gesetzlichen Fristen sichergestellt werden.