Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Das Amtsgericht Mainz musste kürzlich einen außergewöhnlichen Fall entscheiden: Der Kläger klagte insgesamt gegen mehr als 25 Zahnarzt-Praxen wegen vermeintlicher Verstöße gegen die Datenschutzbestimmungen der Datenschutzgrundverordnung (DSGVO) auf deren Webseiten. Dabei ging es dem Kläger nach Auffassung des Gerichts allerdings nicht um ernsthafte Sorgen um seine personenbezogenen Daten, sondern zweckwidrigen Eigennutz - der Kläger arbeitet selbst im Online-Marketing und bot den Betroffenen zuvor seine eigenen Dienstleistungen an. Die Entscheidung des Gerichts: zu viele DSGVO-Klagen stellen Rechtsmissbrauch dar!
In dem speziellen Fall, der der Entscheidung zugrunde lag, bot der Kläger Dienstleistungen für Zahnärzte an, die unter anderem die Erstellung deren Webseiten umfassten. Er besuchte zahlreiche Zahnarztwebseiten wie die des Beklagten und kontaktierte diese bei gefundenen Verstößen gegen die DSGVO. Er sprach in e-Mails von "massiven DSGVO-Verstößen", die man nicht zur Anzeige bringen wolle, sondern Lösungen durch Zusammenarbeit anbieten könne. Der e-Mail wurde ein Dokument, das tatsächliche oder vermeintliche Lösungen aufführte, angehängt. Nachdem der Beklagte nicht auf diese Nachricht reagierte, folgte die Forderung, unverzüglich oder spätestens innerhalb eines Monats Auskunft nach Artikel 15 und 12 Absatz 3 DSGVO zu erteilen. Der Kläger beauftrage noch während der gesetzten Frist seinen Bruder damit, ein Gutachten darüber zu erstellen, welche personenbezogenen Daten auf der Webseite des Beklagten verarbeitet würden. Dieses Gutachten, dessen Kosten mehr als 1000€ betragen haben sollen, sei erforderlich gewesen, um den Umfang der Verstöße festzustellen und Schadensersatz- und Löschansprüche effektiv geltend machen zu können.
Der Auskunftsanspruch des Artikel 15 DSGVO erlaubt es, von unter anderem Unternehmen Informationen darüber zu erhalten, ob und wie personenbezogene Daten verarbeitet werden. Umfasst sind dabei Auskünfte darüber, welche Daten überhaupt wie lange gespeichert werden, zu welchem Zweck sie verwendet werden, ob und an wen sie weitergegeben werden und wie die Löschung der Daten erfolgt.
Nach Artikel 12 Absatz 3 DSGVO muss eine Antwort darauf innerhalb eines Monats erfolgen; bei besonders Komplexen Fällen kann die Frist allerdings auf bis zu 2 Monate verlängert werden. In Ausnahmefällen, insbesondere bei unbegründeten oder übermäßigen Anfragen, kann der Verantwortliche die Auskunft jedoch verweigern.
Jeder - auch der Kläger - kann grundsätzlich die in der DSGVO vorgesehenen Rechte in Anspruch nehmen. Anders gestaltet es sich jedoch, wenn es sich bei der Ausübung im konkreten Einzelfall um eine zweckwidrige Inanspruchnahme einer eigentlich zustehenden Rechtsposition handelt. Für die Ausübung eines bestehenden Rechts bedarf es allerdings grundsätzlich keiner Begründung, selbst wenn dadurch einem anderen ein Nachteil entsteht. Es müssen zusätzliche Umstände bestehen, die die Rechtsausübung im Einzelfall als grob unbillige, mit der Gerechtigkeit nicht mehr zu vereinbarende Benachteiligung erscheinen lassen. Der Inanspruchnahme muss daher ein schlechthin unzumutbares Eigeninteresse zugrunde liegen, bei der das bestehende Recht nur als Vorwand für die Erreichung vertragsfremder oder unlauterer Zwecke dient. Im Datenschutzrecht schützt Artikel 12 Absatz 5 DSGVO vor Rechtsmissbrauch. Demnach dürfen Verantwortliche bei offenkundig unbegründeten oder insbesondere bei häufiger Wiederholung ekzessiver Anträge einer betroffenen Person das Tätigwerden verweigern.
Das Amtsgericht war in diesem konkreten Fall der Überzeugung, dass der Kläger mit der Geltendmachung seines DSGVO-Auskunftsanspruchs primär die Generierung von Einkünften bezwecken wollte und demnach sachfremde Motive verfolgte. Dabei sah es insbesondere die Möglichkeit, dass der Kläger gezielt nach Webseiten mit Datenschutzverstößen gesucht hätte, um neue Kunden zu akquirieren. Er habe dabei jedoch zumindest den aufgedeckten Verstoß genutzt, um Einnahmen zu erzielen - entweder durch den Abschluss eines Vertrags mit den Beklagten oder ansonsten durch die Verfolgung monetärer Ansprüche als Geschäftsmodell. Insbesondere der Umstand, dass der Kläger in der ursprünglichen Kontaktaufnahme trotz der bereits aufgefallenen "massiven Verstöße" konnte die e-Mail nur so verstanden werden, dass sie dazu dient, dem Empfänger seine Dienste anzubieten. Zudem wurden die Ansprüche erst geltend gemacht, nachdem davon auszugehen war, dass es zu keiner Zusammenarbeit kommen würde. Darüber hinaus zeigt dass massenhafte Vorgehen gegen verschiedenste Zahnärzte nach Auffassung des Gerichts, dass es dem Kläger vor allem darum geht, den Beklagten als DSGVO-Verantwortlichen zum Ersatz von Aufwendungen und Kosten in Anspruch zu nehmen und zusätzliche Kosten entstehen zu lassen.
Die DSGVO sieht mit Artikel 82 I DSGVO einen Anspruch auf Kostenerstattung und Schadensersatz für jeden, der wegen Verstößen gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten hat, gegen den Verantwortlichen oder Auftragsverarbeiter vor. Ersatzfähige Schäden sind im Sinne des § 249 Absatz 1 des Bürgerlichen Gesetzbuchs grundsätzlich auch Ausgaben, zu denen sich der Geschädigte veranlasst fühlen darf, also auch solche, die zur Durchsetzung des Anspruchs entstanden sind. Der Ersatzanspruch findet seine Grenzen allerdings bei Ausgaben, die nicht notwendig waren.
Nach Auffassung des Gerichts war die Beauftragung des Bruders des Klägers mit der Erstellung des Gutachtens über die Verstöße auf der Webseite des Beklagten nicht erforderlich und daher auch nicht ersatzfähig, weil hinreichende andere Möglichkeiten zur Belegung einer unrechtmäßigen Datenverarbeitung bestanden. Der Kläger hat bereits an der ersten e-Mail einen Kurzbericht über die jeweiligen Verstöße angehängt, wodurch deutlich wird, dass der Kläger selbstständig, ohne Gutachten 11 verschiedene Stellen, an die seine personenbezogene Daten übertragen sein sollen, im Einzelnen benennen konnte.
Das Gutachten soll auch nicht bezüglich der Art und des Umfangs der Datenweitergabe erforderlich gewesen sein, weil dahingehend der Auskunftsanspruch aus Artikel 15 DSGVO, der sich auf alle relevanten Fragen des Klägers bezieht, bestand. Der Auskunftsanspruch kann gemäß Artikel 79 DSGVO gerichtlich durchgesetzt werden - selbst für Zeiträume, die bereits zurückliegend sind. Zudem hätte sich der Kläger bei Auskunftsverweigerung gemäß Artikel 77 DSGVO bei der zuständigen Aufsichtsbehörde beschweren können. Der Kläger hat allerdings gar nicht auf die Antwort auf das Auskunftsersuchen gewartet, sondern das Gutachten schon von seinem Bruder erstellen lassen, als die Frist noch lief. Die Kosten, die dafür entstanden sind, können somit nicht auf eine mögliche Verweigerung gestützt werden.
Bei Verstößen gegen die datenschutzrechtlichen Bestimmungen der DSGVO sieht diese zudem einen Anspruch auf Schmerzensgeld nach Artikel 82 Absatz 1 DSGVO vor. Dafür ist unter anderem erforderlich, dass der Kläger einen immateriellen Schaden nachweist. Ein Kontrollverlust über die eigenen personenbezogenen Daten stellt zwar grundsätzlich einen solchen Schaden dar, er wurde in diesem Fall jedoch nicht hinreichend bewiesen. Der Kläger konnte mithin nicht nachweisen, dass der mögliche Kontrollverlust gerade wegen der Webseite des Beklagten zustande kam. Allein die Vielzahl an Zahnarzt-Webseiten, die aufgesucht und bei denen es vermeintlich zu ähnlichen Verstößen gekommen sein soll, lässt bezweifeln, dass genau die Webseite des Beklagten diejenige war, wegen der es zu einem Kontrollverlust gekommen sein soll. Allein die 25 erhobenen und strukturell gleichen Klagen beim Amtsgericht Mainz lassen belegen, dass eine Vielzahl an Webseiten als Schädiger in Betracht kommen.
Wie dieser Fall zeigt, können sich aus datenschutzrechtlichen Fehlern auf Webseiten viele negative Folgen für alle Beteiligten entwickeln - selbst, wenn es zu keinem Ernstfall wie einem Datenleck gekommen ist. Daher ist es von besonderer Bedeutung, auch im Datenschutzrecht auf der sicheren Seite zu sein. Wir können Ihnen dabei helfen, eigene DSGVO-Ansprüche durchzusetzen oder selbst die Pflichten der Verordnung zu erfüllen.
Zögern Sie nicht, sich bei uns zu melden! Unsere Anwälte von SBS LEGAL stehen Ihnen mit ihrer jahrelangen fachlichen Expertise im Datenschutzrecht bei sämtlichen Fragen zur Verfügung.