Zur gerichtlichen Durchsetzung von Datensicherungsmaßnahmen

Das Landgericht München I entschied am 10.11.2019, dass einem Kreditkarteninhaber kein Anspruch auf DSGVO-konforme Datensicherungsmaßnahmen gegen sein Kreditkartenunternehmen zustehe. Sei der Kunde mit der Datensicherheit unzufrieden, könne er der Verarbeitung seiner Daten widersprechen oder auch seinen Kreditkartenvertrag kündigen.

Wie lassen sich DSGVO-konforme Datenverarbeitungsmaßnahmen gerichtlich durchsetzen?
Der Kläger war Inhaber einer Kreditkarte und nahm an einem Bonusprogramm der Beklagten teil. Er wehrte sich gegen die Verarbeitung seiner personenbezogenen Daten ohne ausreichende Vorkehrungen gegen Datenmissbrauch durch die Beklagte. Die Beklagte erfuhr im August 2019, dass personenbezogene Daten wie Geburtsdatum, Postanschrift, Telefonnummer etc. von etwa 90.000 Teilnehmern ihres Treueprogramms öffentlich zugänglich waren. Darüber wurde der Kläger wenige Tage später informiert. Später kursierte im Internet eine Datei mit sensiblen Datensätzen der betroffenen Nutzer. Der Datensatz beinhaltete eine teilweise verdeckte Version der Kreditkartennummer, Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse der jeweiligen Kartenbesitzer. Wenig später wurde eine zweite Datei mit den vollständigen Kreditkartennummern von 80.000 betroffenen Nutzern veröffentlicht. Die Beklagte schaltete daraufhin die Internetseite ab. Der Kläger forderte die Beklagte zur Abgabe einer Unterlassungserklärung auf, da sie seiner Ansicht nach für die Sicherheitslücke verantwortlich war. Er beantragte es „zu unterlassen, die Plattform P(...) S(...) zu betreiben, ohne die Sicherheitsmaßnahmen des PCI DSS-Standards einzuhalten, insbesondere die Plattform beim Bekanntwerden von Sicherheitslücken weiter zu betreiben.“ Die Beklagte reagierte aber nicht, woraufhin der Kläger den Erlass einer einstweiligen Verfügung beantragte.

Verhalten nicht konkret erkennbar
Das Landesgericht München I entschied, dass die einstweilige Verfügung nicht zulässig sei. Denn sie sei nicht bestimmt genug. Dem Antrag des Klägers mangele es an einem vollstreckungsfähigen Inhalt. Denn der PCI DSS enthalte durchaus Anforderungen an die Sicherheitsstandards für Kreditkartendaten. Gegenstand des Antrags seien aber keine bestimmten Anforderungen des PCI DSS, gegen die die Beklagte verstoßen haben soll. Somit sei das zu unterlassende Verhalten nicht so konkret bezeichnet, dass die Beklagte ihr Verhalten darauf einrichten könne. Die Beklage könne aus dem Antrag nicht konkret ersehen, welche Maßnahmen sie zur Erfüllung ihrer Pflicht zu ergreifen habe.

Auch der Kläger kann aktiv werden
Außerdem fehle das Rechtsschutzbedürfnis, so das Gericht weiter. Denn der Kläger habe die Möglichkeit, der maschinellen Verarbeitung seiner Daten zu widersprechen. Auch könne er den Kreditkartenvertrag beenden. Es sei nicht nur Aufgabe der Beklagten, die gesetzlich vorgesehenen Maßnahmen zu ergreifen, um eine sichere Datenverarbeitung zu gewährleisten. Wenn der Kläger der Beklagten als seiner Vertragspartnerin nicht mehr das nötige Vertrauen in Bezug auf hohe Sicherheitsstandards entgegenbringe, sei er nicht gezwungen, die Vertragsbeziehungen aufrecht zu erhalten. Durch eine Vertragsbeendigung sei das verfolgte Begehren auf einfacherem Wege zu erlangen.

Keine Erstbegehungs- oder Wiederholungsgefahr
Das LG befand, dass der Antrag auch nicht begründet sei. Denn es fehle sowohl an einer Wiederholungs- als auch einer Erstbegehungsgefahr. Weder sei es in der Vergangenheit zu einer Beeinträchtigung gekommen. Auch lege der Kläger nicht dar, dass die Beklagte unzureichende Schutzmaßnahmen nach Bekanntwerden des Vorfalls ergriffen habe. Die bedrohte Plattform sei vielmehr danach nicht mehr in Betrieb gewesen.

Kein unverhältnismäßiger Schaden für den Kläger erkennbar
Es sei keinerlei Vereitelung oder wesentliche Erschwerung der Klägerrechte erkennbar, so das Gericht weiter. Der Klägerantrag sei darauf gerichtet gewesen, nicht weiter konkretisierte Sicherheitsmaßnahmen vorzunehmen. Inhaltlich stelle dies nichts anderes dar als den Wunsch einer ordnungsgemäßen Vertragsdurchführung. Ein derartiger Antrag könne aber nur in engen Ausnahmefällen zugelassen werden. Hierfür müsse der Kläger darlegen, dass er derart dringend auf die sofortige Anspruchserfüllung angewiesen sei und dass er erhebliche wirtschaftliche Nachteile erleiden würde, wenn er noch länger warten müsse. Dies komme nur in Betracht, wenn dem Kläger ein unverhältnismäßiger Schaden drohe. Dazu habe der Beklagte aber nichts vorgetragen. Dass die Beklagte sensible, personenbezogene Daten verarbeite und aufgrund dessen weitere unbefugte Zugriffe auf die Datenbank zu befürchten seien, reiche als Begründung nicht aus. Selbstverständlich sei die Beklagte verpflichtet, für die Datensicherheit zu sorgen. Sicherungsmaßnahmen seien im einstweiligen Rechtsschutz aber nur möglich, wenn konkrete Sicherheitsmöglichkeiten bekannt seien, um ein erneutes Datenleck zu vermeiden. Hierzu fehle aber jeder Vortrag.

Landgericht München I, Urteil vom 10.11.2019, Az. 34 O 13123/19