Kein DSGVO-Unterlassungsanspruch bei Datenleck des Kreditkartenunternehmens
Das OLG München entschied mit Beschluss vom 29.10.2019, Az. 15 W 1308/19, dass ein Kunde eines Kreditkartenunternehmens nach einem Vorfall einer Datensicherheitslücke keinen auf Unterlassung gerichteten Anspruch auf Erlass einer einstweiligen Verfügung habe. Ihm fehle das Rechtsschutzbedürfnis. Sofern er die Einrichtung von Schutzmaßnahmen verlange, handele es sich um eine Leistungsverfügung, wodurch die Hauptsache unzulässigerweise vorweggenommen werde.
Unsichere Datenverarbeitung bei Kreditkartenunternehmen
Bei einem Kreditkartenunternehmen gab es einen Vorfall, bei dem es zu einer unsicheren Verarbeitung personenbezogener Daten kam. Betroffen war unter anderem der Antragsteller. Mit Schriftsatz vom 19.09.2019 beantragte er den Erlass einer einstweiligen Verfügung gegen das Kreditkartenunternehmen. Auf diesem Wege versuchte er einen Anspruch auf Unterlassung einer unsicheren Verarbeitung seiner personenbezogenen Daten, die widerrechtlich veröffentlich worden seien, durchzusetzen. Bereits mit Schriftsatz vom 12.09.2019 hatte das Kreditkartenunternehmen unter anderem beim Landgericht München I eine Schutzschrift gegen einen möglichen Antrag auf Erlass einer einstweiligen Verfügung eingereicht.
LG und OLG München: der Antragsteller habe kein Rechtsschutzbedürfnis
Das Landgericht München I wies den Antrag zurück und gab zur Begründung an, dem Antragsteller fehle das Rechtsschutzbedürfnis, denn es gebe keine Anspruchsgrundlage. Außerdem würde bei Erlass der einstweiligen Verfügung die Hauptsache vorweggenommen. Gegen den Beschluss des Landgerichts legte der Antragsteller sofortige Beschwerde ein. Das Landgericht half der Beschwerde nicht ab, woraufhin der Antragsteller erneut sofortige Beschwerde einlegte. Doch auch das Oberlandesgericht teilte die Ansicht des Landgerichts: dem Antragsteller fehle das Rechtsschutzbedürfnis zur gerichtlichen Durchsetzung seines Begehrens.
Datenverarbeitung trotz Antrag auf Löschung möglich?
Der Antragsteller vertrat die Ansicht, ihm stehe kein anderer Weg zur Verfügung. Im Falle eines Widerspruchs gegen die Datenverarbeitung oder im Rahmen eines Antrags auf Löschung seiner personenbezogenen Daten würde die Antragsgegnerin weiterhin Daten des Antragsstellers verarbeiten. Auch die bloße Speicherung seiner Daten falle bereits unter den Begriff der „Verarbeitung“. Wegen der gesetzlichen Aufbewahrungspflicht dürfe die Antragsgegnerin die Daten auch gar nicht löschen. Insofern stehe ihm keine andere Möglichkeit offen, als im Rahmen des einstweiligen Verfügungsverfahrens gegen die unsichere Datenverarbeitung vorzugehen. Der Antragsteller hatte es jedoch versäumt aufzuzeigen, dass ein Löschungsantrag in seinem Fall bzw. in vergleichbaren Fällen zur Vorbeugung erneuter Vorfälle tatsächlich wirkungslos wäre.
Der effizientere Weg: Löschungsantrag statt einstweiliger Verfügung
Das OLG München sah die Sachlage anders: es gehe hier nicht entscheidend darum, inwieweit auch die bloße Speicherung von Daten begrifflich bereits als Verarbeitung zu betrachten sei und ob die Antragsgegnerin eine Aufbewahrungspflicht habe. Die Frage sei vielmehr, ob der Antragsteller nicht einen viel effizienteren Weg gehen könne, indem er einen Löschungsantrag nach Art. 17 DS-GVO stelle. Mit einer Löschung seiner personenbezogenen Daten könne verhindert werden, dass seine Daten in Zukunft verarbeitet und ungewollt verbreitet werden. Denn insoweit habe die Antragsgegnerin zutreffend darauf hingewiesen, dass auch die nach einem Löschungsantrag weiterhin gespeicherten Daten nicht ohne Anlass willkürlich verarbeitet werden dürfen. Die Daten, die nach einem Löschungsantrag noch gespeichert werden müssen, würden nur mehr im Rahmen der gesetzlichen Aufbewahrungspflicht verarbeitet. Eine Datenverarbeitung wie zuvor dürfe gerade nicht mehr vorgenommen werden.
Ausreichende Maßnahmen zur zukünftigen Datensicherheit
Zudem habe die Antragsgegnerin hinreichend dargelegt und glaubhaft gemacht, welche Maßnahmen sie ergriffen hatte, nachdem der Sicherheitsvorfall bekannt wurde. Sie wies außerdem darauf hin, dass sie bereits aus wirtschaftlichen Gründen ein hohes Interesse an einer ausreichenden Datensicherheit habe, das dem Interesse des Antragstellers in nichts nachstehe. Er habe auch nicht aufgezeigt, dass die ergriffenen Sicherheitsmaßnahmen der Antragsgegnerin nicht ausreichen würden bzw. welche weiteren Maßnahmen geboten wären. Daher könne nicht von einer Wiederholungsgefahr eines Sicherheitsvorfalls ausgegangen werden.
Reaktivierung der Website für IT-Checks begründet keine Wiederholungsgefahr
Der Antragsteller hatte darauf hingewiesen, dass die Website des Kreditkartenunternehmens auch nach den Sicherheitsvorfällen weiterhin erreichbar war. Die Antragsgegnerin hatte diesbezüglich erklärt, dass der Zugriff auf die Website aufgrund forensischer Untersuchungen und IT-Checks für einen begrenzten Zeitraum möglich war. Daraufhin hatte der Antragsteller bestritten, dass der Zugriff nur kurzfristig möglich war. Dieser Vortrag reiche nach Ansicht des OLG München nicht aus, um das Vorliegen einer Wiederholungsgefahr glaubhaft zu machen. Das Risiko eines erneuten Datenmissbrauchs sei allein aufgrund der Aktivierung der Website nicht gegeben, da dies der Untersuchung und zukünftigen Prävention gedient habe und insofern mit dem ursprünglichen Datenvorfall gar nicht vergleichbar gewesen sei.
Kein Verfügungsgrund wegen fehlender Eilbedürftigkeit
Zudem erklärte das OLG München, es sei auch kein Verfügungsgrund gegeben. Ein Verfügungsgrund bestehe grundsätzlich in der Eilbedürftigkeit bzw. „Dringlichkeit“ einer Sache. Der Gläubiger müsse prinzipiell Tatsachen darlegen und glaubhaft machen, die ein „dringendes Bedürfnis“ der Eilmaßnahme begründen. Er müsse auf die sofortige Erfüllung durch Erlass einer einstweiligen Verfügung dringend angewiesen sein. Grundsätzlich dürfe die Verweisung auf das Hauptsacheverfahren keiner Rechtsverweigerung gleichkommen. Ebenso wenig dürfe die Erwirkung eines Titels im ordentlichen Verfahren möglich sein.
Vorwegnahme des Hauptsacheverfahrens?
Die Antragstellerin hatte entgegen der Formulierung in ihrem Antrag nicht nur ein Unterlassen, sondern ein aktives Handeln der Antragsgegnerin zum Ziel. Dabei gehe es insbesondere um die Einrichtung von risikoadäquaten Schutzmaßnahmen, damit weitere Sicherheitsvorfälle verhindert werden können. Damit verfolge der Antragsteller eine Leistungsverfügung. Er habe jedoch nicht dargelegt, dass die Voraussetzungen dafür gegeben seien. Vor allem würde der Antragsteller im einstweiligen Verfügungsverfahren bereits das erlangen, was er auch im Hauptsacheverfahren erreiche könnte. Insofern würde hier die Hauptsache vorweggenommen. Er habe auch nicht dargelegt, weshalb er auf die sofortige Erfüllung der Leistung angewiesen sei oder ihm ein Zuwarten unzumutbar wäre. Da der Antragsteller schon keine Wiederholungsgefahr glaubhaft gemacht habe, reiche es auch nicht aus, dass er bei einer Fortdauer der Datenverarbeitung weitere Sicherheitsvorfälle befürchte. Daher wies das OLG München die Beschwerde des Antragstellers zurück.
OLG München, Beschluss v. 29.10.2019, Az. 15 W 1308/19