Anforderungen an einen Antrag zur Durchsetzung von Datenschutz
Das Oberlandesgericht Düsseldorf entschied per Beschluss am 07.11.2019, dass ein Unterlassungsantrag konkret bezeichnen müsse, welche Leistungen zu erbringen seien. Die Grenze, ab wann Vollstreckungshandlungen aufgrund einer Zuwiderhandlung drohen, müsse ersichtlich sein. Außerdem könne ein Verfügungsantrag nicht auf vergangene Vorgänge bezogen sein, da zwangsläufig nur zukünftige Verhaltensweise unterlassen werden könnten.
Was ist zu tun?
Antragsteller war der Inhaber einer Mastercard Kreditkarte und Teilnehmer des Bonusprogramms „Mastercard Priceless Specials“, welches von der Antragsgegnerin angeboten wurde. Die Antragsgegnerin hatte im Jahr 2019 aufgrund einer Sicherheitslücke personenbezogenen Daten des Antragstellers und weiterer Personen aus dem Bonusprogramm „Mastercard Priceless Specials“ veröffentlicht. Auf der Internetseite war eine Kundenliste mit fast 90.000 Datensätzen einsehbar. Zum Antragsteller lagen Angaben wie KartenID, Name, Vorname, Ort, E-Mail etc. offen. Kurze Zeit später kam es zu einer weiteren Datenveröffentlichung, bei der auch die vollständige Kreditkartennummer des Antragstellers offen lag. Daher mahnte er die Antragsgegnerin ab und beantragte schließlich den Erlass einer einstweiligen Verfügung. Die Vorinstanz wies den Antrag wegen Unzulässigkeit ab. Hiergegen richtete sich die Beschwerde des Antragstellers.
Verhalten ist konkret zu bezeichnen
Das Oberlandesgericht Düsseldorf wies die Beschwerde zurück. Denn der Antrag sei nicht ausreichend bestimmt und damit unzulässig. Das Bestimmtheitserfordernis bei Unterlassung sei nur erfüllt, wenn das zu unterlassende Verhalten konkret bezeichnet sei. Die Antragsgegnerin müsse das Risiko erkennen und ihr Verhalten darauf ausrichten können. Sie müsse also begreifen, welche Leistungen zu erbringen seien und ab wann Vollstreckungshandlungen aufgrund einer Zuwiderhandlung drohen.
Pflichten müssen erkennbar sein
Das Gericht urteilte, dass aus dem Antrag keine konkreten Maßnahmen hervorgegangen seien. Zwar müsse der Antragsgegnerin als potentielle Störerin grundsätzlich die Wahl zwischen mehreren Möglichkeiten offengelassen werden. Jedoch müsse der Tenor bestimmt und vollstreckbar sein. Der Antragsgegnerin sei nicht klar gewesen, wann sie ihrer Pflicht genüge getan habe. Die Grenzen, ab wann eine Haftung drohe, sei für sie nicht ersichtlich gewesen.
Verantwortlichkeit für Datenleck blieb offen
Zur Konkretisierung könne auch nicht auf die Antragsschrift zurückgegriffen werden, so das Gericht. Zwar habe der Antragsteller Möglichkeiten vorgetragen, wie ein Schutz der Daten erfolgen könne. Gleichzeitig räume er aber ein, nicht genau zu wissen, wie es zur Veröffentlichung der Daten gekommen sei. Daher sei bereits unklar, wer faktisch für das „Datenleck“ überhaupt verantwortlich sei. Folglich werde auch nicht deutlich, welche Maßnahmen letztlich von der Antragsgegnerin zu veranlassen seien, um einen adäquaten Datenschutz zu erlangen.
Verfügungsantrag kann sich nicht auf Vergangenheit richten
Das OLG befand, dass auch das weitere Vorbringen des Antragstellers nicht berücksichtigt werden könne. Er war der Ansicht, dass seine personenbezogenen Daten durch die erfolgte Veröffentlichung missbraucht werden könnten und eines besonderen Schutzes bedürften. Dieser Antrag richte sich somit auf Vergangenes. Allerdings müsse der Antrag vielmehr darauf gerichtet sein, welche Datenschutzmaßnahmen in Zukunft zu ergreifen seien. Denn grundsätzlich habe die Antragsgegnerin keinen Einfluss darauf, was mit bereits veröffentlichten Daten passiere und wer sie ggf. missbräuchlich verwende. Daher könne mit einer einstweiligen Verfügung auch nichts Gegenteiliges erreicht werden.
Oberlandesgericht Düsseldorf, Beschluss vom 07.11.2019, Az. I-16 W 67/19
