In seinem Urteil vom 19.4.2024 (12 S 4/23) hatte sich das LG Köln mit einem sehr praxisrelevanten Problem zu befassen: haben Betroffenen einen Anspruch auf Schadenersatz nach Art. 82 DSGVO, wenn eine Auskunft nach Art. 15 DSGVO verspätet erfolgt? Also die Auskunft zwar inhaltlich erteilt wird, jedoch zB erst nach 1,5 Monaten.
Das LG lehnt in diesem Fall einen Schadenersatzanspruch ab, da allein die Verspätung und damit der Verstoß gegen Art. 15, 12 Abs. 3 DSGVO an sich noch keinen ersatzfähigen Schaden darstellt.
Das Gericht verweist für seine Ansicht auf die bisherige Rechtsprechung des EuGH zu Art. 82 DSGVO.
So habe der EuGH entschieden, dass Art. 82 Abs. 1 DSGVO dahingehend auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen (EuGH, Urteil vom 04.05.2023, C-300/21). Zwar sei Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.
Allerdings ist die betroffene Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nicht vom Nachweis befreit, dass diese Folgen einen immateriellen Schaden darstellen.
Der EuGH geht davon aus, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen (EuGH, Urteil vom 21. Dezember 2023, C-667/21, Rn. 82). Dies ist der Anknüpfungspunkt des LG im vorliegenden Fall. Der Betroffene hatte keinen individuellen Schaden dargelegt. Wenn der Betroffene aber als Folge eines Verstoßes (hier: die Verspätung) einen Schaden annimmt und diese Folge (hier: die Verspätung) quasi stets bei dem betreffenden Verstoß eintritt, reicht dies nach Ansicht des LG nicht aus.
„Das bloße längere Zuwarten auf die Erteilung der Auskunft bzw. die „verspätete Auskunft“ (…) kann einen solchen nach der o.g. Entscheidung des EuGH keinesfalls darstellen, da dies bei einem Verstoß gegen die DSGVO immanent ist und nicht über den bloßen Verstoß hinausgeht“.
Im Ergebnis geht das LG mithin davon aus, dass die „Standardfolge“ aus einem Verstoß gerade keinen Schaden darstellen kann, denn dies würde bedeuten, dass ein Verstoß für die Annahme eines Schadens ausreichend ist.