AG Frankfurt a.M.: Bloßes Unbehagen genügt für DSGVO-Schadensersatzanspruch nicht

(…) Die Beklagte, eine Hotelkette, speichert Buchungs- und Aufenthaltsdaten ihrer Kunden in einem Registrierungssystem. Dabei kam es zu einem internen Fehler, wodurch personenbezogene Kundendaten im Internet frei zugänglich einsehbar waren.

Der Kläger, ein regelmäßiger Gast der Hotels der Kette, verlangte mit ­Schreiben vom 9.1.2019 Auskunft von der Beklagten, ob und welche Daten zu seiner Person an Dritte gelangen konnten. Daraufhin erhielt er eine Zusammenstellung von Bildschirm- und Tabellenausdrucken. Nach Meinung des Klägers wären diese Informationen jedoch verspätet und unvollständig bei ihm angekommen. Besonders die Tabellenausdrucke seien nicht vollständig gewesen. Aus diesem Grund habe der Kläger ein Gefühl des Unbehagens gehabt, weil er den Missbrauch seiner Daten durch Dritte befürchtet habe. Verstärkt werde das Gefühl durch das Unwissen, welche personenbezogenen Daten überhaupt abhandengekommen oder weiterverwendet worden seien.

Der Kläger ging auf die nach seiner Ansicht unzureichende Auskunftserteilung also dazu über, einen Schadensersatzanspruch auf Grundlage von §82 Abs. 1 DSGVO gegen die Beklagte geltend zu machen. Die Beklagte hielt dagegen, sie habe die Anfrage im Angesicht der Anzahl der Betroffenen (5000) rechtzeitig beantwortet. Auch fehle eine konkrete Beeinträchtigung des Klägers durch das Datenleck.

Das AG Frankfurt am Main wies den Schadensersatzanspruch mit Urteil vom 10.7.2020 (Az. 385 C 155/19 (70)) zurück, da dieser nicht ausreichend begründet sei. Zunächst sei unstrittig, dass die Beklagte gegen Art. 5 DSGVO verstoßen habe, so das Gericht. Die personenbezogenen Daten seien nicht ausreichend gesichert worden. Die Beklagte habe jedoch nicht gegen die Mitteilungsfrist gemäß Art. 39 DSGVO verstoßen. Die Hotelkette habe unmittelbar nach Kenntnisnahme des Datenlecks eine Pressemitteilung veröffentlicht. Auch auf die individuelle Anfrage des Klägers habe die Beklagte ausreichend schnell geantwortet, wobei die hohe Anzahl an individuellen Anfragen zu berücksichtigen gewesen sei. (…)
• www.it-recht-kanzlei.de