Nicht notwendigerweise Schadenersatz nach DSGVO bei Datenklau
Das Landgericht Frankfurt/Main urteilte am 18.09.2020, dass nicht jede nicht rechtskonform ausgeführte Datenverarbeitung automatisch einen ersatzfähigen Schaden begründe. Vielmehr müsse die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten führen. Eine weite Auslegung des Schadensbegriffs nach Art. 82 DSGVO, nach dem mit jedem Verstoß ein Schaden begründet werde, widerspreche der deutschen Rechtssystematik.
Bestehen Ansprüche nach DSGVO?
Die Parteien stritten um Unterlassungs- und Schadenersatzansprüche. Beklagte war eine deutsche Tochtergesellschaft von Mastercard. Diese betrieb neben anderen Diensten auch ein Marketing- und Kundenbindungsprogramm namens Priceless Specials-Programm. Inhaber einer Mastercard konnten sich unter Angabe persönlicher Daten im Internet registrieren, um bei Bezahlvorgängen Treuepunkte zu sammeln. Diese konnten später gegen Prämien eingelöst werden. Für das Bonusprogramm hatten die Parteien einen Vertrag abgeschlossen. Die Beklagte vereinbarte später mit der Brain Behind GmbH (BB GmbH) ein sog. Framework Service Agreement. Dieses regelte u.a., dass die BB GmbH die Datenschutzstandards, u.a. PCI-DSS-Standards einhalten müsse und zu Datenschutzmaßnahmen verpflichtet sei. Eingeschlossen war davon, Auftragsverarbeitern dieselben Pflichten aufzuerlegen. Außerdem unterzeichnete die BB GmbH einen Datenverarbeitungsvertrag mit der Beklagten. Später erfolgte ein unbefugter Zugriff auf die Systeme der BB GmbH von einer ausländischen IP-Adresse, bei der ein Administratorenpasswort geändert wurde. Danach erhielt die Beklagte Hinweise auf eine illegale Veröffentlichung von Gutscheincodes aus dem Priceless Specials-Programm im Internet. Die Beklagte und die BB GmbH untersuchten dies und beauftragten eine IT-Sicherheitsfirma mit der Überprüfung der Firewall. Noch vor Abschluss der Prüfung kam es zu einem Datenvorfall. Hierbei machten unbekannte Täter die im Rahmen des Bonusprogramms erhobenen Daten von etwa 90.000 Teilnehmern im Internet öffentlich zugänglich. Davon waren auch die Daten des Klägers betroffen. Unter anderem wurde seine vollständige Kartennummer veröffentlicht. Ablaufdaten und Sicherheitscodes (CVC) von Kreditkarten waren nicht betroffen. Die Beklagte kontaktierte daraufhin den Kläger und warnte vor Missbrauch. Im Nachgang kontaktierte die Beklagte die Betreiber von Internetseiten, auf denen die Daten veröffentlicht waren und ließ die Daten entfernen. Zudem richtete sie einen Dienst gegen Identitätsdiebstahl ein und überwachte, ob personenbezogene Daten angeboten wurden. Hinweise auf Datenmissbrauch gab es bisher nicht. Der Kläger forderte die Beklagte zur Abgabe einer strafbewehrten Unterlassungserklärung auf und machte Schadensersatzansprüche geltend. Mittlerweile speichert die BB GmbH die Daten nicht mehr, das erfolgt durch die Beklagte selbst. Außerdem wurde das Bonusprogramm beendet.
Einwilligung in Datenverarbeitung
Das Landgericht Frankfurt entschied, dass dem Kläger gegenüber der Beklagten kein Unterlassungsanspruch zur Verarbeitung seiner personenbezogene Daten - wie im Bonusprogramms geschehen – zustehe. Denn zur Unterlassung der Datenverarbeitung sei die Beklagte nicht verpflichtet, solange die mit dem Bonusprogramm erteilte Einwilligung des Klägers in die Datenverarbeitung fortbestehe.
Keine Wiederholungsgefahr aufgrund Beendigung des Bonusprogrammes
Auch stehe dem Beklagten kein Unterlassungsanspruch wegen Veröffentlichung seiner personenbezogenen Daten - wie im Bonusprogramm geschehen – zu, so das Gericht weiter. Es fehle nämlich an einer Wiederholungsgefahr. Es gebe keine ernsthafte Besorgnis weiterer Störungen. Zwar begründe eine vorangegangene rechtswidrige Beeinträchtigung grundsätzlich die Vermutung einer Wiederholungsgefahr. An die Widerlegung der Vermutung seien zudem hohe Anforderungen zu stellen. Diese hohen Anforderungen seien aber durch die Beklagte erfüllt worden. Denn zum einen gelte die Vermutung nur so lange, wie der ihr zugrundeliegende Sachverhalt unverändert fortbesteht. Vorliegend habe sich der Sachverhalt aber maßgeblich geändert. Denn die BB GmbH verwalte die Daten des Klägers nicht mehr; dies habe die Beklagte selbst übernommen. Es sei somit ausgeschlossen, dass nochmals aufgrund mangelnder Sicherheitsvorkehrungen Daten abgegriffen werden können. Ferner sei die Internetseite des Bonusprogramms mittlerweile offline und das Programm beendet. Dem Kläger sei die Kündigung zugegangen. Das Einfallstor für unberechtigte Zugriffe sei somit nicht mehr vorhanden.
Keine Wiederholungsgefahr aufgrund unvorhersehbaren kriminellen Verhaltens
Unabhängig davon könne die Widerlegung der Widerholungsgefahr ausnahmsweise auch angenommen werden, weil der Eingriff durch eine einmalige Sondersituation veranlasst worden sei, entschied das LG. Das kriminelle und unvorhersehbare Verhalten eines externen oder internen Dritten begründe zweifellos eine derartige einmalige Sondersituation.
Keine Veröffentlichung der Daten durch die Beklagte selbst
Das Landgericht befand, dem Kläger stehe kein Anspruch auf Schadenersatz nach Art. 82 DSGVO zu. Zwar sei dem Kläger unstreitig ein immaterieller Schaden entstanden. Denn seine personenbezogenen Daten seien Dritten ohne sein Einverständnis zugänglich gewesen. Eine derartige öffentliche „Bloßstellung“ falle grundsätzlich unter Art. 82 Abs. 1 DSGVO. Allerdings müsse der Schaden wegen eines Verstoßes gegen die DSGVO entstanden sein. Die Veröffentlichung der Klägerdaten stelle jedoch keinen solchen Verstoß dar. Der Kläger sei für den Verstoß gegen die DSGVO darlegungs- und beweisbelastet. Erst in Bezug auf die Verantwortlichkeit für den Verstoß sehe Art. 82 Abs. 3 DSGVO eine Vermutung zu Lasten des Anspruchsgegners vor. Vorliegend habe die Beklagte bzw. die BB GmbH die Veröffentlichung nicht selbst vorgenommen. Somit könne die Datenveröffentlichung lediglich Folge einer Pflichtverletzung sein, nicht aber der Verstoß an sich.
Kein offensichtlicher Verstoß gegen Überwachungspflichten
Auch folge der Schadensersatzanspruch nicht daraus, dass die Beklagte die BB GmbH nicht ordnungsgemäß ausgewählt oder überwacht habe, so das Gericht. Dass dies nicht geschehen sei, lasse sich nicht feststellen. Offensichtlich sei ein solcher Verstoß aufgrund des Sachverhaltes jedenfalls nicht. Auch sei keine Kausalität zwischen eventuellen Verstößen gegen Datenschutzpflichten, dem Datenvorfall und dem Schaden des Klägers festzustellen. Denn letztlich sei unklar geblieben, wodurch das Datenleck verursacht wurde. Dass es durch ein anderes Auswahlverfahren, andere Sicherheitsvorkehrungen oder andere Überwachungen hätte verhindert werden können, sei Spekulation. Auch müsse ein werkseitig individuell voreingestelltes Passwort im Ausgangspunkt nicht weniger sicher als ein vom Nutzer persönlich eingestelltes Passwort sein.
Enge Auslegung des Schadensbegriffes nach Art. 82 DSGVO
Das Gericht entschied auch, dass dem Kläger kein Schadenersatz deswegen zustehe, weil seine Daten auch nach dem Vorfall noch verfügbar gewesen seien. Während eines IT-Checks habe zwar jedermann auf Daten zugreifen können. Dem Kläger sei aber daraus kein Schaden entstanden. Nicht jede nicht rechtskonforme Datenverarbeitung begründe automatisch einen ersatzfähigen Schaden. Vielmehr müsse die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten führen. Eine weite Auslegung des Schadensbegriffs nach Art. 82 DSGVO widerspreche der deutschen Rechtssystematik. Die Gerichte seien zu einem überkompensatorischen Strafschadensersatz grundsätzlich nicht verpflichtet. Nach dem Äquivalenzgrundsatz wäre ein solcher nur dann erforderlich, wenn die mitgliedstaatliche Rechtsordnung allgemein Strafschadensersatz vorsehe. Dies sei jedoch in Deutschland nicht der Fall.
Vertrag in Textform ohne Unterschrift für Auftragsdatenverarbeitung ausreichend
Das Landgericht konnte auch keinen Verstoß gegen die Auftragsdatenverarbeitung gem. Art. 28 DSGVO erkennen. Die Beklagte habe einen Datenverarbeitungsvertrag mit der BB GmbH geschlossen. Zwar sei in dem Vertrag kein Rechtsformzusatz für die darin bezeichnete „Brainbehind“ genannt worden. Allerdings ergebe sich aus den weiteren Informationen, dass es sich um die GmbH handele. Dass der Vertrag nicht von sämtlichen Parteien unterzeichnet wurde, sei unerheblich. Nach Art. 28 DSGVO reiche eine schriftliche Abfassung und damit ein elektronisches Format aus. Danach sei keine Unterzeichnung erforderlich; es genügt die Abfassung in Textform. Diesem Erfordernis genüge der Vertrag.
Keine Hashes oder PCC-DSS-Standards notwendigerweise erforderlich
Auch auf die unterlassene Verwendung von Hashes könne der Kläger seien Schadensersatzanspruch nicht stützen, befand das Gericht. Bei der Verarbeitung der personenbezogenen Daten müsse zwar eine angemessene Sicherheit gewährleistet sein. Dies erfordere geeignete technische und organisatorische Maßnahmen, welche sich nach den Anforderungen des Art. 32 DSGVO zu richten haben. Dort werde auch die Verschlüsselung erwähnt. Die Anwendung von Hashes werde aber nicht explizit gefordert. Selbiges gelte für die PCC-DSS-Standards.
Landgericht Frankfurt/Main, Urteil vom 18.09.2020, Az. 2-27 O 100/20