In dem folgenden Verfahren vor dem LG Landshut (Urteil vom 06.11.2020 - Az.: 51 O 513/20) ging es um einen Schadenersatzanspruch gegen die eigene WEG-Hausverwaltung und deren externen Datenschutzbeauftragten, wegen der ungewollten Datenweitergaben am sämtlich Mit-Wohnungseigentümer.
Hintergrund der Weitergabe war ein Legionellenbefall in der Wohnanlage. Zur Vorbereitung der Eigentümerversammlung verschicke die Hausverwaltung Informationen zum Legionellenbefall, sowie eine Liste der betroffenen Wohungen. Der Kläger sah sich durch seine Benennung in seinen Rechten verletzt, da die Veröffentlichung seiner Daten ohne sein Einverständnis ein Verstoß gegen Art. 6 DSGVO sei und ihm dadurch ein immaterieller und materieller Schaden entstanden sei. Sein Ruf wäre geschädigt worden. Zudem habe ihm ein potenzieller Käufer den Kauf der Wohnung aufgrund der Information über den Legionellenbefall abgesagt. Der Kläger behauptet ferner, dass der externe Datenschutzbeauftragte den Verstoß (durch die Bennung des Eigentümers) innerhalb des E-Mail-Verkehrs eingeräumt habe und demnach ein Schuldanerkenntnis vorliege, aus dem der externe Datenschutzbeauftragte nun hafte.
Das LG hat den Schadenersatzanspruch gegenüber der Hausverwaltung abgewiesen, da man hier von einer rechtmäßigen Mitteilung ausgehen muss. Gemäß §§ 13 und 14 WEG haben andere Wohnungseigentümer einen Anspruch darauf zu erfahren, in welchen Wohnungen ein Legionellenbefall vorliegt, wie der Umfang des Befalls ist und ob bereits eine Legionellenprüfung stattgefunden hat. Ohne Nennung der Zahl der Wohnungen, der konkreten Lage der jeweiligen Wohnung und des konkreten Befalls wäre eine Beurteilung und entsprechende Entscheidung in der Eigentümerversammlung hinsichtlich der notwendigen Maßnahmen nicht möglich gewesen. Damit haben die Voraussetzungen von Art. 6 Absatz 1 Buchstabe b und c DSGVO als Rechtsgrundlage für die Datenverarbeitung vorgelegen (Erfüllung eines Vertrages und Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung). Ergänzend wies das Gericht daruf hin, dass der Verkäufer einen Verkäufer ohnehin auf einen Legionellenbefall hätte hinweisen müssen, weshalb auch kein begründbarer Schaden ersichtlich wäre. Einen erheblichen immateriellen Schaden konnte das Gericht ebenfalls nicht erkennen.
Soweit es um den Anspruch auf Schadenersatz gegen den externen Datenschutzbeauftragten ging führte das Gericht aus, dass externe Datenschutzbeauftrage keine Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO sind und nicht für die Handlungen der Verantwortlichen verantwortlich seien.
Für ein vermeintliches Schuldanerkenntnis des externen Datenschutzbeauftragen gegenüber dem Kläger in der streitgegenständlichen E-Mail scheiterte es an dem erforderlichen Schriftformerfordernis. Vom Schriftformerfordernis konnte vorliegend auch nicht gemäß § 350 HGB abgesehen werden, da der externe Datenschutzbeauftragte seine Kaufmannseigenschaft bestritten hatte und es sich bei dem vermeintlichen Schuldanerkenntnis auf der Seite des externen Datenschutzbeauftragten nicht um ein Handelsgeschäft im Sinne des § 343 Absatz 1 HGB gehandelt hat, sodass von dem Schriftformerfordernis abgesehen werden könnte.
Man kann sehen, dass die Beratungsfunktion (Art. 38 Abs. 4 DSGVO) gegenüber jeglichen Betroffenen für Datenschutzbeauftragte schnell zu einer Haftungsfalle werden kann. Die Sinnhaftigkeit dessen ist ohnehin unklar, da der Datenschutzbeauftragte ja auch vertragliche Nebenpflichten (Vertraulichkei) gegenüber seinem Auftraggeber einhalten muss.
