#DSGVO: Bundesverfassungsgericht zur Vorlagepflicht bei Klageabweisung wegen immateriellem Schadenersatz nach Art. 82

Das Bundesverfassungsgericht (BVerfG) hat in einem Beschluss vom 14. Januar 2021 (Az.: 1 BvR 2853/19) einer Verfassungsbeschwerde stattgegeben und dem Amtsgericht Goslar aufgegeben, eine unionsrechtlich nicht geklärte Frage zur Schadenersatzpflicht bei Datenschutzverstößen von Unternehmen nach Art. 82 DSGVO dem Europäischen Gerichtshof (EUGH) zur klärenden Entscheidung vorzulegen. Indem das Amtsgericht über die entscheidungserhebliche Frage, ob die Schadenersatzpflicht nach Art. 82 DSGVO auch in Bagatellfällen besteht oder eine Erheblichkeitsschwelle als ungeschriebene Tatbestandsvoraussetzung zu statuieren ist, selbst entschieden hat, ohne die Sache dem EUGH vorzulegen, hat das Amtsgericht das Grundrecht des Klägers auf seinen gesetzlichen Richter nach Art. 101 Grundgesetz (GG) verletzt. Eine solche Erheblichkeitsschwelle findet sich nämlich nicht in der DSGVO und ist auch nicht den Erwägungsgründen zu entnehmen. Deshalb war dann nach Erschöpfung des Rechtswegs die Verfassungsbeschwerde erfolgreich.
Das Bundesverfassungsgericht hat nun dafür gesorgt, dass die praxisrelevante Frage nun endlich dem EUGH zur unionseinheitlichen Auslegung und klärenden Entscheidung vorgelegt wird. Der Amtsrichter hätte hier die noch nicht unionsrechtlich geklärte, hier aber entscheidungserhebliche Frage, ob ein Bagatellverstoß bestehend aus einer einzelnen Spam-E-Mail oder ähnliche Bagatellverstöße schadenersatzpflichtig nach Art. 82 DSGVO sind oder nicht, nach Art. 267 AEUV dem Europäischen Gerichtshof zur Entscheidung vorlegen müssen.
Den Hintergrund des Streits gut erklärt hat Rechtsanwalt Wybitul, der für seine internationalen Klienten mit seinem Team zunehmend mit der Abwehr von vielen Schadenersatzklagen bei der Kanzlei Latham & Watkins beschäftigt ist und dessen Mandanten ein hohes Interesse haben, Bagatellgrenzen, Rechtsmissbrauch und andere Argumente gegen die Schadenersatzklagen Betroffener bei Datenschutzverletzungen von großen Unternehmen zu Felde zu ziehen – hier https://www.cr-online.de/blog/

Hierbei muss ich sagen, dass es doch sehr erstaunlich ist, was die Richter in dem Bestreben, die Sache einfach arbeitssparend abzuweisen, alles als Bagatelle abtun… aber dazu an anderer Stelle…

Die Entscheidung wird aber noch weitere Folgen haben, nicht nur die Klärung der Frage zu der Erheblichkeitsschwelle: Im Zusammenhang mit den Schadenersatzklagen gibt es noch eine Reihe weiterer nicht geklärter Fragen zur Auslegung der DSGVO, insbesondere solche zur Auslegung der Auskunftsrechte des Betroffenen nach Art. 13-15 DSGVO. Sie sind weit gefasst und sollen es nach dem Erwägungsgründen dem Betroffenen ermöglichen, zu erfahren, wer auf welcher Grundlage personenbezogene Daten verarbeitet (Transparenzgebot) und deren Rechtmäßigkeit zu prüfen bzw. bei Datenschutzverstößen, die ihn geschädigt haben, wenigstens Schadenersatzansprüche nach Art. 82 DSGVO effektiv durchsetzen zu können (Stichwort informationelle Selbstbestimmung als Schutzgut von Art. 8 Grundrechtecharta (GrCH) sowie der DSGVO). Während bisher die deutsche Richterschaft mehrheitlich dem alten Konzept von der Persönlichkeitsrechtsverletzung, die nur bei schweren Eingriffen ein Schmerzensgeld auslöste verhaftet bleibt, versucht die DSGVO unserer zunehmenden Digitalisierung gerecht zu werden. Daher ist der DSGVO richtigerweise nach meiner Einschätzung keine solche Erheblichkeitsgrenze zu entnehmen, sondern sind diese Fragen einfach bei der Entscheidung über die Höhe der Entschädigung zu berücksichtigen. Während im Einzelfall eine E-mail oder andere Bagatellverstöße nicht schwerwiegend sein mögen, zahlen sich die massenweise rechtswidrige Weiterverarbeitung von personenbezogenen Daten in einem Kontrollverlust für jeden Einzelnen bemerkbar, der es ohne eine effektive Rechtsdruchsetzung auch kleiner Verstöße nicht wirksam eingedämmt werden kann. Es ist daher zu erwarten, dass nunmehr infolge dieses Paukenschlags des BVerfG nun in einer Reihe weiterer Schadenersatzklagen die Gerichte ihre Vorlagepflicht besser prüfen werden und weitere umstrittene Zweifelsfragen zur Auslegung und Reichweite der Auskunftsansprüche der DSGVO nach Art. 267 AEUV dem Europäischen Gerichtshof zur Klärung vorlegen müssen.

#DSGVO-Beschwerde und #Schadenersatzdurchsetzung: hier Durchsetzung bei Datenpanne ist für Verletzte schwierig

Datenpannen passieren häufig im Ausland und zuständige federführende Aufsichtsbehörden nach der DSGVO sind oft ebenfalls nicht in Deutschland. Betroffene, die Auskunfts- und Schadenersatzansprüche gegen den Verantwortlichen und/oder Auftragsverarbeiter nach Art. 82 DSGVO durchsetzen wollen, bzw. Unternehmen, die nach einer solchen Panne sich fragen, was sie konkret mitteilen müssen, haben derzeit daher an 2 Fronten zu kämpfen. Einmal bei den Zivilgerichten, die die Auskunfts-, Darlegungs- und Beweisgrundsätze bisher nicht einheitlich und zum Teil entgegen Art. 82 DSGVO und den nach Erwägungsgrund 146 DSGVO zu beachtenden Effektivitätsgrundsätzen restriktiv auslegen. So hat das Landgericht Frankfurt, und zwar einmal die 27. Zivilkammer mit Urteil Landgericht Frankfurt/Main Az. 2-27 O 100/20 und in einem Parallelfall eines anderen Klägers nunmehr erneut die 30. Zivilkammer mit etwas anderem Tatbestand mit Urteil vom 18.01.2021 20210118_anonym.LG Ffm Urteil 18.01.2021 15+82 DSGVO_Geschwärzt eine Auskunfts- und Schadenersatzklage gegen die in Belgien sitzende Mastercard Europe SA im Zusammenhang mit dem Databreach aus August 2019 im Rahmen des Mastercard Priceless Specials Germany Bonusprogramms abgewiesen (nicht rechtskräftig). Der Kläger wird in die Berufung gehen. Update 6.2.2021 Letzter Stand der Klägerseite hier: Tatbestandsberichtigungsantrag ist fristgemäß gestellt, weil es hier offensichtliche Unrichtigkeiten im Tatbestand gibt. Den Auskunftsantrag (Mastercard hat verspätet und unvollständig beauskunftet und will die konkreten Serviceprovider nicht angeben, bzw. hat erst in der Klageerwiderung die Namen „Brain Behind Ltd und Brain Behind GmbH“ vorgetragen, wobei unklar blieb, bei wem genau das unsichere Administratorpasswort den unbefugten Zugriff auf die Systeme der „BB“ 2019 ermöglicht hat. Ferner ist es so, dass es eine „Brain Behind GmbH“ ausweislich des Handelsregisters weder in Deutschland und ebenso auch nicht in Österreich gibt, wie man dem amtlichen firmenbuch.at entnehmen kann). Der Streitfrage ging das Gericht damit überraschend aus dem Weg, indem es im Urteil plötzlich meinte, es sei nicht ersichtlich, wieso die GmbH nicht identifizierbar sei und eine Pflichtverletzung von Mastercard sei „nicht indiziert.“ Der Kläger hatte vorgetragen, dass diese Angaben unklar sind und deshalb in der mündlichen Verhandlung den Auskunftsantrag nicht für erledigt erklärt. Die Beklagte hatte sich auch gar nicht damit verteidigt, das sei erledigt, denn man müsse diese nicht konkret angeben. Damit war diese rechtliche Streitfrage an sich zu entscheiden, die in der Praxis auch hoch relevant ist, ob – jedenfalls nach einer Datenpanne – nach Art. 12, 15 Abs. 1 lit.c DSGVO der Serviceprovider, der als Auftragsverarbeiter und damit „Empfänger“ der Kundendaten involviert war, konkret zu benennen ist. Mit vagen Angaben wie hier, kann ein geschädigter Betroffener nichts anfangen, daher (so auch die herrschende Meinung in der für das Gericht natürlich zitierten Kommentarliteratur mit allen Argumenten) konkret anzugeben, jedenfalls spätestens nach einer Datenpanne und ausdrücklicher DSGVO-Auskunftsanfrage des betroffenen Kunden. Mal sehen, ob das Gericht die offenbaren Unrichtigkeiten nun auf Antrag im Tatbestand berichtigen wird, damit in der II. Instanz das Gericht wenigstens den Sachverhalt richtig versteht, über den es zu befinden haben wird….Puh.

Die andere Baustelle ist die Erlangung von näheren Informationen und Akteneinsichten bei den Aufsichtsbehörden, die für die Beschwerde- und Bussgeldverfahren nach einer Datenpanne zuständig sind. Auszug aus meiner Korrespondenz mit dem HBDI (Hessischer Beauftragter für Datenschutz und Informationsfreiheit):
UPDATE VOM 09.02.2021: Nun liegt eine neue Antwort des HBDI vor:

Sehr geehrte Frau Rechtsanwältin Hagendorff,

die belgischen Kollegen haben mir mitgeteilt, dass die Untersuchungen noch andauern und die Daten zum Verfahren derzeit nach belgischem Recht vertraulich sind. Entsprechend wurde auch mir keine weitere Auskunft erteilt und so kann ich Ihnen auch keine weiteren Informationen zur Verfügung stellen.

Mit freundlichen Grüßen
Im Auftrag

……….
—–Meine E-mail an das HBDI in einem Beschwerdeverfahren einer Klientin gegen Mastercard Europe SA:
Sehr geehrter Herr……,
danke für Ihre E-mail vom 20.10.2020 zum Akteneinsichtsgesuch …und ich habe die Angelegenheit inzwischen nochmals geprüft.

Wenn die Akte zum Beschwerdeverfahren zu o.g. Az. nur meine Eingaben enthält, wird auf die Akteneinsicht selbstverständlich verzichtet.
Aber ich möchte Sie bitten, gemäß Art. 77 Abs. 2 DSGVO i.V.m. § 19 Abs. 2 S.3 BDSG uns den Informationsstand und das Ergebnis oder hilfsweise das Zwischenergebnis des Beschwerdeverfahrens bei der federführenden Aufsichtsbehörde in Belgien mitzuteilen. Nach § 19 Abs. 2 S. 3 BDSG soll dann, wenn wie hier die Verantwortliche in Deutschland keinen Sitz und keine Niederlassung hat, die Aufsichtsbehörde hier als empfangende Behörde dem Beschwerdeführer über das Ergebnis des Verfahrens informieren, d.h. soweit das Verfahren abgeschlossen ist, den Beschluss der Belgischen Aufsichtsbehörde mitteilen oder falls es noch nicht abgeschlossen ist, zumindest den Zwischenstand über die Erkenntnisse, die zur Datenpanne geführt haben.

Nach § 19 Abs. 2 Satz 3 BDSG weist der deutsche Gesetzgeber die nach der DSGVO zugewiesenen Aufgaben der Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, kraft Gesetzes der „empfangenden Aufsichtsbehörde“ zu. Das bedeutet, dass die Zuständigkeiten gebündelt werden, damit die Aufsichtsbehörde den Verletzten nicht an ausländische Aufsichtsbehörden verweisen kann. [Vermerk: Ausserdem ist sie zur Kooperation und Weiterleitung einer Beschwerde an die federführende Aufsichtsbehörde in der EU verpflichtet, At. 60ff DSGVO]. Damit verleiht das BDSG dem Grundgedanke der DSGVO, dass der Betroffene bei der Aufsichtsbehörde seiner Wahl in Deutschland Beschwerde einlegen kann, damit er nicht auf eine Aufsichtsbehörde im Ausland verwiesen werden kann, ihre Wirkung (vgl. sinngemäß so auch Hellmich in Taeger/Gabel, DSGVO.BDSG, 3. Auflage, Rn. 7 zu BDSG § 19 m.w.N.). Das bedeutet, dass das HBDI vorliegend die Kommunikationsaufgaben, sprich Information über das Ergebnis des Verfahrens oder bei überlanger Dauer wie hier zumindest den Stand und Zwischenergebnis des Verfahrens zu unterrichten hat. Wäre der Betroffene auf die Durchsetzung von Informations- und Akteneinsichtsersuchen bei der ausländischen federführenden Behörde angewiesen, würde dies dem Grundgedanken der DSGVO widersprechen, die aus Gründen der Fairness und des europarechtlichen Grundgedankens des effet utile die praktische Durchsetzung seiner Informations- und Abwehrrechte gegen unrechtmäßige Verarbeitungen überhaupt erst ermöglichen sollen. Dies ist gerade bei grenzüberschreitenden Datenverarbeitungen, die hier auch die Kreditkartenumsätze umfassen, die zweckentsprechend zum Gutschreiben der Coins im Bonusprogramm automatisch abgeglichen und somit miteinander vernetzt gewesen sein dürften, nur praktisch möglich, wenn § 19 Abs. 2 S. 3 BDSG wie vom Gesetzgeber beabsichtigt, dem Betroffenen die deutsche Aufsichtsbehörde sichert, auch wenn federführend eine ausländische Aufsichtsbehörde zuständig ist nach den Art. 60ff DSGVO.

Nach nochmaliger Prüfung der Sach- und Rechtslage ist es demnach nicht statthaft, die Beschwerdeführerin auf die ausländische federführende Aufsichtsbehörde vorliegend zu verweisen oder bis zum rechtskräftigen Abschluss etwaiger Zivilklagen mit dem Bericht das Verfahren auszusetzen.

Wie dargelegt, besteht der Verdacht, dass Mastercard Europe SA oder deren Auftragsverarbeiter die Datenpanne durch unzureichende Datensicherheitsmassnahmen nach Art. 32 DSGVO z.B. durch ein unsicheres Administratorpasswort eines Auftragsverarbeiters, das höchstwahrscheinlich entdeckt worden wäre, wenn die nach der PCI-DSS v3.2.4 abrufbar in Deutsch und in Englischer Sprache unter https://www.pcisecuritystandards.org/document_library auf S. 128 vorgeschriebenen Penetrationstests alle 6 Monate durchgeführt worden wären.
Auf S. 128 der vorgenannten Payment Card Informationsystem Data Security Standards heisst es unter 11.2.4.1. „Additional requirement for service providers only: If segmentation is used, confirm PCI DSS scope by performing penetration testing on segmentation controls at least every six months and after any changes to segmentation controls/methods.“
Diese Vorgabe ist nach meinen Informationen seit Februar 2018 in Kraft und die Einhaltung der PCI-DSS waren hier wegen der Vernetzung mit dem Zahlungssystem zwischen Mastercard und Brain Behind auch vereinbart.

Mastercard hat keine Auskunft über die genauen Empfänger der Brain Behind Gruppe erteilt (also wer genau wo aus der Gruppe die Kundendaten für das Bonusprogramm verarbeitet hat), sodass Name und Anschrift des Auftragsverarbeiters, bei dem die Datenabfluss stattgefunden hat z.B. wegen unzureichender Schutzmassnahmen und Penetrationstests hier nicht vorliegen. Handelt es sich um die aus dem Imprint von brain-behind.com veröffentlichte Brain Behind Ltd?
Die Anschrift dort ist laut Impressum (Inprint):
Brain Behind Ltd.
30 Moorgate
London, EC2R 6PJ, United Kingdom
xxxxxxxxxx
Phone: +44xxxxx

Ist es korrekt, dass dort ein unsicheres Administratorpasswort den Zugriff auf die geleakten Kundendaten aus dem Mastercard Priceless Specials Databreach in 2019 durch unbekannte Dritte ermöglicht haben?
Dies müsste doch unzureichende Datensicherheitsmassnahmen indizieren, weil für das Bonusprogramm laut unseren Informationen zwischen Mastercard Inc oder Mastercard Europe SA für das Mastercard Priceless Specials die Einhaltung der Sicherheitsmassnahmen nach den Vorgaben der PCI-DSS vereinbart war. Letztere sehen alle 6 Monate Penetrationstests vor.

Die fehlende Auskunft über den Empfänger entgegen Art. 15 Abs. 1 c DSGVO dürfte ebenfalls ein Verstoß beinhalten, denn Mastercard hat dazu keine Auskünfte erteilt, weder in der Datenschutzerklärung noch in der Meldung zur Datenpanne noch nachdem sie zur Auskunft aufgefordert wurde und hat Ende 2019 nur pauschal auf die Datenschutzerklärung verwiesen und ein Verschulden zurückgewiesen. Mit vagen Auskünften, es seien die Daten in Grossbritannien von einem Auftragsverabeiter verarbeitet worden, kann der Verletzte nichts anfangen. Der Begriff des Schadens [und die Auskunftsansprüche des Betroffenen nach den 12ff. DSGVO) sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.

Der Beschwerdeführerin ist auch ein immaterieller und ein materieller Schaden i.S. von Art. 82 Abs. 1 DSGVO entstanden. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht (ErwG 146 S.3 DSGVO). Zum Schaden gehört im Lichte der Grundfreiheiten auch der Kontrollverlust, der entsteht, wenn bei einer Datenpanne nicht der Verletzte informiert wird, wie es zu der Datenpanne kam und bei wem die Daten, insbesondere Empfänger/Auftragsverarbeiter der Verantwortliche die Kundendaten hat verarbeiten lassen. Der Betroffene (Verletzte i.S. der DSGVO) hat sonst nicht die Möglichkeit, ggfs. auch gegenüber dem Auftragsverarbeiter mangels Namen und Anschrift seine Rechte geltend zu machen, z.B. eine Streitverkündung im Zivilrechtsstreit zu ermöglichen oder Auskunftsansprüche nach Art. 15 DSGVO geltend zu machen. Nach überwiegender Auffassung der Kommentarliteratur muss sinnvollerweise also der Auftragsverarbeiter konkret nach einer Datenpanne benannt werden, identifizierbar und das hat Mastercard gegenüber der Beschwerdeführerin nicht getan. Es ist auch nicht eindeutig anhand Ihrer Auskünfte ersichtlich bisher. Die Mastercard Priceless Specials Germany Bonusprogramm hinterlegte Mastercard Kreditkarte von xxxxx xxx wurde wie in der Beschwerde dargelegt von ihrem Kreditinstitut aus Anlass der streitgegenständlichen Datenpanne vorsorglich im September 2019 gesperrt und ausgewechselt. Auch der Kontrollverlust bei einer unbefugten Weitergabe oder wie hier sogar Veröffentlichung durch anonyme Dritte ist ein Schaden [Vermerk: 85 S.2 ErwG: Die Menschen sollten die Kontrolle über ihre Daten besitzen und sich effektiv gegen unrechtmäßige Datenverarbeitung schützen können vgl. ErwG 7 der DSGVO.] Hier ist der Verdacht begründet, dass neben den Kontaktdaten auch die Kreditkartenumsätze geleakt worden waren, die eine Profilbildung ermöglichen. Zudem konnte sie infolge der Kreditkartenauswechselung zwar einer möglicherweise drohenden Kreditkartenbetrug verhindern, aber wegen des inzwischen gesperrten Portals keine weiteren Coins mit der neuen
Kreditkarte sammeln, weil die neue Mastercard nunmehr nicht mehr auf der gesperrten Seite des Mastercard Priceless Specials Programms hinterlegt werden konnte.

Bitte erteilen Sie bitte daher nunmehr die Auskünfte über das Ergebnis oder zumindest Zwischenstand der Ermittlungen, wer und was zu der Datenpanne geführt hat. Rein vorsorglich rüge ich nochmals auch nach § 46 OwiG i.v.m. § 198 GVG, dass ansonsten der Beschwerdeführerin ein weiterer Schaden entsteht, wenn sie gegenüber Mastercard und Brain Behind mangels ausreichender Auskünfte nicht ihre Rechte auf Schadenersatz auf dem Zivilrechtswege durchsetzen kann.
Wegen der Vielzahl der Betroffenen und Beschwerden dürfte es hier auch nicht unverhältnismäßig sein, wenn das HBDI diese Auskunft den Betroffenen Beschwerdeführern erteilt.
Würde Mastercard sich mit pauschalen Schutzbehauptungen bei einer Datenpanne wie geschehen wehren können, ohne transparente Informationen über das Ergebnis der Ermittlungen zur Datenpanne zu leisten gegenüber den geschädigten Kunden, dann hätte das verheerende Signalwirkung.

Freundliche Grüße

Stefanie Hagendorff
Rechtsanwältin

Am Straßbach 2
(Eingang Pfingstweide)
D-61169 Friedberg (Hessen)

Am 20.10.2020 um 08:41 schrieb x@datenschutz.hessen.de:
> Sehr geehrte Frau Rechtsanwältin Hagendorff,
>
> zu der Beschwerde von xxx sind in der Akte lediglich Ihr Beschwerdeschreiben vom 20.12.2019, Ihre weitere Email vom 23.07.2020 und meine Antwort vom 28.07.2020 enthalten. Der Akteninhalt liegt Ihnen daher vollständig vor. Sollten Sie dennoch ihren Antrag auf Akteneinsicht aufrechterhalten, bitte ich um einen Hinweis.
>
> Mit freundlichen Grüßen
> Im Auftrag ….
> ——————————————————————————–
> Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
> Gustav-Stresemann-Ring 1
> 65189 Wiesbaden
————

DSGVO-Schadenersatzklagen nach Datenpanne gegen Verantwortliche nicht rechtsmissbräuchlich

Ich habe am 19.11.2020 mit meinem Mandanten einen Termin vor dem Landgericht Frankfurt wahrgenommen, in dem es um eine Klage wegen unzureichender Auskunft nach Art. 15 DSGVO und Schadenersatz nach Art. 82 Abs. 1 DSGVO gegen die Mastercard Europe SA (mit Sitz in Waterloo, Belgien) ging, die im Sommer 2019 im Rahmen ihres Bonusprogramms Mastercard Priceless Specials eine Datenpanne erlitt. Der Kläger wirft der Beklagten vor, die Pflicht zur Auskunft über die Empfänger nicht konkret erfüllt zu haben, denn nach den bisherigen Informationen war Ursache des Hacks ein leicht zu erratendes Standardpasswort eines Administrators der Plattform für das Bonusprogramm. Das bedeutet, dass pflichtgemäße Penetration Tests, die nach den branchentypischen Sicherheitsstandards (Payment Card Industry Data Security Standards -PCI DSS v.3.2.1 vom Mai 2018) alle 6 Monate hätten stattfinden müssen, die Datenpanne höchstwahrscheinlich verhindert hätten. Die Beklagte hat diese jedoch nicht konkret dargelegt und unter Beweis gestellt. Auch bleibt unklar, wer eigentlich die Vertragspartner und Betreiber des Bonusprogramms waren. Wenn die Muttergesellschaft aus den USA den Dienstleister ausgesucht und unzureichend kontrolliert hat, wäre dies ebenfalls eine Schadensursache, die auf DSGVO Verstößen beruht, weil die DSGVO sowohl die Auslagerung auf eine US-amerikanische Mutter unter dem Vorbehalt einer Rechtsgrundlage und geeigneter Garantien für dieses Outsourcing unterwirft und nach Art. 28 DSGVO der Dienstleister, der personenbezogene Daten verarbeitet, hinreichend schriftlich verpflichtet und kontrolliert wurde.
Die Beklagte hat sich hier u.a. damit verteidigt, die Klage sei rechtsmißbräuchlich, man müsse die Auftragsverarbeiter nicht konkret benennen, und nach den allgemeinen Darlegungs- und Beweislastregeln habe der Kläger zu beweisen, durch welche Pflichtverstöße konkret die Schäden verursacht seien. Der Artikel 82 Abs. 3 DSGVO sei nicht so wörtlich zu nehmen, wenn dort stehe, dass der Verantwortliche nur von einer Haftung frei kommt, wenn er nachweist, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist. Ferner seien die Schäden wie der Kontrollverlust über die Risiken für den Kläger nach Meldung der Datenpanne und Veröffentlichung in einer großen Datenbank, die Besorgnis über Identitätsdiebstahl, Profilbildung zum Nachteil des Betroffenen, die Spamnachrichten und Spamanrufe kein ersatzfähiger Schaden. Demgegenüber hatte der Kläger argumentiert: Bei der Produkthaftung oder in Filesharing-Fällen hat die Rechtsprechung ebenfalls die Anforderungen an die Darlegung und Beweislast zu Lasten desjenigen, der die Gefahrenquelle beherrscht, verschoben, daher ist das nicht systemwidrig, sondern erforderlich, um dem Datenschutz wirksam zur Geltung zu verhelfen und die DSGVO normiert klar, dass die Betroffenenrechte wie Auskunft und Schadenersatz wirksam sein müssen und hierbei auch ein immaterieller Schadenersatz z.B. für den Kontrollverlust über seine personenbezogenen Daten bei einer Datenpanne vorsieht.
Den Argumenten der Verteidigung stimmte die erkennende Richterin nach Anhörung des Klägers zu den Spamanrufen und Diskussion in einigen Punkten ausdrücklich nicht zu. Zum einen sei es für sie ganz klar nicht rechtsmißbräuchlich, wenn Betroffene nach einer Datenpanne und Veröffentlichung von Kundendatenbanken ihre Rechte auf Auskunft und Schadenersatz gegen die Verantwortlichen nach der DSGVO geltend machen und sie verstehe nicht, warum denn nicht die Mastercard Europe SA wenigstens pauschal ein Friedensangebot in Höhe von z.B. 150 Euro Entschädigung gemacht habe. Belästigende Spamanrufe, die unmittelbar nach der Veröffentlichung einsetzten und erst vor ca. 3 Monaten wieder aufhörten, scheinen doch recht klar im Zusammenhang mit der Veröffentlichung der Kundendatenbanken aus dem streitgegenständlichen Mastercard Priceless Specials Programm zu stehen und die Beklagte war für die Sicherheit des Bonusprogramms verantwortlich. Ob auch die beantragte Enschädigung für die 950 Coins, die der Kläger ebenfalls in Höhe von 1 Euro je Coin geltend macht, weil inzwischen im Gegensatz zu den Angeboten bekannter Marken vor der Datenpanne nur noch recht wertlose Einlösemöglichkeiten von unbekannten Anbietern angeboten werden, ist noch ungewiss. Wie genau das Gericht entscheiden wird, wird spannend.
Termin zur Verkündung einer Entscheidung ist am 18.01.2021.
Update 03.02.2021: Das Landgericht hat in dieser Sache die Klage – wie ich finde zu Unrecht – abgewiesen, der Beklagte beabsichtigt dagegen Berufung einzulegen. Volltext des Urteils siehe hier.

Bank muss 1.000 Euro Schadenersatz + Anwaltskosten an Bewerber wegen Datenschutzverstoß zahlen

Wie das Landgericht Darmstadt mit Urteil vom 26.05.2020, Az.: 13 O 244/19 entschied, muss eine Bank wegen Datenschutzverstößen nach versehentlicher Versendung von beruflichen personenbezogenen Daten mit Gehaltsverhandlungen im Rahmen eines Bewerbungsverfahrens via XING an den falschen Empfänger und falschem Umgang mit dieser Datenpanne einen immateriellen Schadenersatz von 1.000 Euro nach Art. 82 Abs. 1 DSGVO zahlen.
Der betroffene Bewerber erfuhr hiervon, weil der unbeteiligte Dritte, der die Nachricht versehentlich erhielt, die Person des Bewerbers identifizieren konnte und ihn benachrichtigt hat. Obwohl der betroffene Bewerber die Bank hierauf umgehend noch am gleichen Tag des 23.10. ansprach, folgte eine Benachrichtigung des Dritten, dass er die Daten nicht weiter verarbeiten solle erst im Dezember des gleichen Jahres. Ferner habe man entgegen Art. 34 DSGVO den Bewerber nicht unverzüglich benachrichtigt, sondern umgekehrt musste er von Drtitter Seite davon erfahren.
Das Landgericht Darmstadt stellt in dem Urteil klar, dass nicht erst, wenn tatsächlich berufliche Nachteile verursacht werden und zu materiellen Einbußen führen, ein immaterieller Schaden verursacht wird, sondern bereits mit dem Kontrollverlust wegen Weiterleitung privater beruflicher Informationen an Dritte und der Befürchtung, dass hierdurch Nachteile entstehen, ein ersatzfähiger Schaden nach Art. 82 Abs.1 DSGVO begründet ist. Das Recht auf Informationelle Selbstbestimmung soll auch den Kontrollverlust bei illegitimer Verbreitung von persönlichen Daten schützen. Ein solcher Schaden ist daher nicht erst dann entstanden, wenn etwa tatsächlich der bisherige Arbeitgeber davon erfährt, dass ein Mitarbeiter sich anderweitig bewirbt, sondern auch dann, wenn solche Schäden aufgrund des Kontrollverlusts zu befürchten sind. Der Empfänger arbeitete in der gleichen Branche innerhalb der Unternehmensgruppe des bisherigen Arbeitgebers, daher war diese Befürchtung im Streitfall auch nicht abwegig. Wegen des hohen Stellenwerts der in Art. 8 der Grundrechtecharta geschützten informationellen Selbstbestimmung ist bereits der Kontrollverlust bei Weiterverbreitung privater beruflicher Informationen an unbeteiligte Dritte ein Schaden entstanden und nicht erst, wenn der Betroffene tatsächlich nachweisbare materielle Vermögenseinbussen erleidet.
Gleichfalls zu erstatten hatte die beklagte Bank auch die Kosten der vorgerichtlichen anwaltlichen Abmahnung, wobei die Beklagte nur eine auf Verbreiten der konkreten Nachricht bezogene strafbewehrte Unterlassungserklärung abgab. Auch das war nach Ansicht des Landgerichts Darmstadt zu eng, daher wurde mangels Ausräumung der Wiederholungsgefahr die beklagte Bank auf Antrag des Klägers auch auf Unterlassung verurteilt, „…es künftig zu unterlassen, personenbezogene Daten über den Kläger, die im Zusammenhang mit seiner Bewerbung bei der Beklagten stehen, zu verarbeiten / verarbeiten zu lassen, wenn dies geschieht wie in der Nachricht über das Portal XING an Herrn W am 23. Oktober 2018…“
Quelle zum Urteil und Volltext via Media Kanzlei – https://www.media-kanzlei.com/news/blog-artikel/media-kanzlei-erwirkt-erfolgreich-schmerzensgeld-nach-art-82-ds-gvo/?s=03

Was sind die Spezialgebiete eines Fachanwalts für IT-Recht?

Fachanwälte müssen auf den jeweiligen Fachgebieten praktische Erfahrung nachweisen und sich jährlich qualifiziert fortbilden. Das tue ich und will das näher beschreiben, was das bedeutet.
Die Fachanwaltsordnung Stand 1.1.2020 definiert das Fachgebiet Informationstechnologie für Fachanwälte wie folgt (meine Schwerunkte habe ich fett gekennzeichnet):
§ 14k der Fachanwaltsordnung – Nachzuweisende besondere Kenntnisse im Informationstechnologierecht Für das Fachgebiet Informationstechnologierecht sind besondere Kenntnisse nachzuweisen in den Be-reichen:
1. Vertragsrecht der Informationstechnologien, einschließlich der Gestaltung individueller Verträge und AGB,
2. Recht des elektronischen Geschäftsverkehrs, einschließlich der Gestaltung von Provider-Verträgen und Nutzungsbedingungen (Online-/Mobile Business),
3. Grundzüge des Immaterialgüterrechts im Bereich der Informationstechnologien, Bezüge zum Kennzeichenrecht, insbesondere Domainrecht,
4. Recht des Datenschutzes und der Sicherheit der Informationstechnologien einschließlich Verschlüsselungen und Signaturen sowie deren berufsspezifischer Besonderheiten,
5. Das Recht der Kommunikationsnetze und -dienste, insbesondere das Recht der Telekommunikation und deren Dienste,

6. Öffentliche Vergabe von Leistungen der Informationstechnologien (einschließlich e-Government) mit Bezügen zum europäischen und deutschen Kartellrecht,
7. Internationale Bezüge einschließlich Internationales Privatrecht,
8. Besonderheiten des Strafrechts im Bereich der Informationstechnologien,
9. Besonderheiten der Verfahrens- und Prozessführung.
Es handelt sich derzeit um ein besonders herausforderndes Gebiet mit hohen Risiken und Herausforderungen für die praktische Umsetzung und erfogreiche Durchsetzung bzw. Abwehr bei Streitigkeiten in diesem Bereich.

#DSGVO #Schadenersatzansprüche betroffener Händler und Kunden bei Datenpannen?

Hier am aktuellen Beispiel zur #Datenpanne bei #Mastercard Priceless Specials vom August 2019. Jetzt nehmen die Schadenersatzverfahren Fahrt auf, weil das Programm endgültig eingestellt wurde.

Ca. 90.000 Teilnehmer des Mastercard Priceless Specials Programms waren im Sommer 2019 betroffen von einer Datenpanne, weil die Datenbank offen mit Namen, Anschrift, Mobilfunknummer, E-mail, Geburtsdatum und Kreditkartendaten im Internet abrufbar waren. Mastercard hatte die Datenpanne unweigerlich offiziell bestätigen müssen und sich entschuldigt, die Plattform mit Bonusprogramm „vorläufig“ und inzwischen endgültig deaktiviert, aber eine Verantwortlichkeit für die Datenpanne pauschal abgestritten. Die Aufsichtsbehörden in Hessen (HBDI) – hier die Pressemitteilung des HBDI vom 23.08.2019 mit den späteren updates – und die federführende Aufsichtsbehörde des datenschutzrechtlichen Untersuchungsverfahrens in Belgien DPA in Brüssel – https://www.dataprotectionauthority.be/contact-us -erhielten zahlreiche Beschwerden Betroffener über unzureichende Auskünfte. Aber bis heute hat Mastercard nicht viel zur Aufklärung über die Verantwortlichkeit beigetragen, obwohl die Datenpanne nach Art. 82 III DSGVO indiziert, dass Mastercard für den Datenschutz verantwortlich ist oder ihn ermöglicht hat, wenn und soweit Mastercard als Verantwortliche nicht nachweist, in keiner Weise für den massiven Verstoß durch diesen Datenpanne ein Verschulden zu tragen. Das ist bisher nicht geschehen und offenbar ist Mastercard weder in der Lage noch gewillt, dass Programm wie bisher angekündigt, wieder datenschutzkonform zu aktivieren. Priceless ist gekündigt und wurde zum 4.7.2020 endgültig beendet. Der Schadenersatz nach Art. 82 I DSGVO umfasst anders als nach früherem Datenschutzrecht nunmehr neben den Vermögensschäden auch immaterielle Schäden, die Betroffene durch den Datenschutzverstoß erleiden, den Mastercard – dafür sprechen einige Indizien – mitverschuldet haben dürfte. Wenn die Plattform nicht wieder aktiviert werden kann, spricht das für fundamentale Sicherheitsmängel des Bonusprogramms und der beteiligten Systeme, die einen Verstoß gegen die Pflichten nach Art. 5, 24 und 32 DSGVO durch Mastercard wahrscheinlich machen.

Am 4.6.2020 schließlich kündigte Mastercard seinen Kunden den Vertrag über das Bonusprogramm mit Wirkung zum 4.7.2020 auf und kündigte Infos an, wie die gesammelten Coins dann nun eingelöst werden können. Diese liegen bisher nach meinen Informationen noch nicht vor.

Derzeit laufen einige Auskunfts- und Schadenersatzverfahren Betroffener gegen Mastercard beim zuständigen Amts- bzw. Landgericht (je nach geforderter Summe und Streitwert). Neben den entgangenen Coins hatten einige Betroffene weitere Schäden wie gesperrte Kreditkarten, Kreditkartenbetrug, nicht blockierbare Spamanrufe mit gefakten Rufnummern, belästigende Spamnachrichten auf das Mobiltelefon oder Spammails, Identitätsdiebstahl d.h. z.B. das Erstellen von Fakeshops mit der Identität der illegal veröffentlichten Daten der Teilnehmer, Inkassorechnungen und Mahnungen von getäuschten Onlinehändlern, bei denen mit der gestohlenen Identität eingekauft wurde und weitere Folgeschäden, insbesondere auch der sog. Emotional Distress, den Opfer von solchen massiven Datenschutzverstößen erleiden. Die Betroffenen haben in vielen Fällen auch Beschwerden bei der Aufsichtsbehörde eingelegt, aber die Hessische Aufsichtsbehörde hat mit Verweis auf die anhängigen Schadenersatzklagen in den mir vorliegenden Fällen das Verfahren ausgesetzt und verweist auf die belgische federführende Aufsichtsbehörde, obwohl fast nur deutsche Kunden betroffen sind und daher die Schadenersatzklagen hier nach § 44 I BDSG am Gerichtsstand der deutschen Niederlassung in Frankfurt am Main geführt werden und hinsichtlich der Feststellung der Datenschutzverstöße und Ahndung der Verletzung u.a. der Auskunftsansprüche der Betroffenen der Hessische Datenschutzbeauftragte zuständig ist. Nach dem One-Stop-Prinzip der DSGVO für grenzüberschreitende Datenpannen hat hier die Belgische Datenaufsichtsbehörde die Federführung übernommen – vgl. deren Pressemitteilung zur Datenpanne von Mastercard Priceless Specials. Es kommt daher auch eine Untätigkeitsbeschwerde nach 3 Monaten Untätigkeit gegen die Datenschutz-Aufsichtsbehörde nach Art. 78 II DSGVO in Betracht. Wir werden in Belgien zum Stand des Verfahrens nachfragen und unseren Mandanten, die wir betreuen, berichten. Aber unklar ist, ob unter diesen Umständen diese Aussetzung des Beschwerdeverfahrens bis zum rechtskräftigem Abschluss des gegenständlichen zivilgerichtlichen Gerichtsverfahren und Verweisung auf die belgische Aufsichtsbehörde DSGVO konform ist. Der HBDI verweist auf Nachfrage als Rechtsgrundlage auf § 17 GVG analog – aber zum einen geht die DSGVO vor und ausserdem ist fraglich, ob das sinnvoll ist. Nach Art. 78 DSGVO soll nämlich unbeschadet von anderen Rechtsmitteln vor den Gerichten auch gerade verhindert werden, dass Betroffene auf ausländische Behörden und Gerichte verwiesen werden, um ihre Betroffenenrechte effektiv sowohl über Beschwerdeverfahren bei den Aufsichtsbehörden als auch Zivilklagen vor den Gerichten verfolgen zu können.
Man kann gespannt sein, ob die Betroffenen die Kündigung von Mastercard ohne Entschädigung für den Schaden so hinnehmen werden oder erfolgreich ihre Ansprüche vor den Gerichten durchsetzen können. Anders als früher sind nach der DSGVO die Bußgelder und Schadenersatzbeträge viel höher, denn nach Erwägungsgrund 146 müssen sie abschreckend und wirksam sein und müssen bei den Verbraucherrechten Wertungswidersprüche vermieden werden – so auch zuletzt der BGH mit Urteil vom 6.6.2019 – I ZR 216/17 – zu unbegründeten Zahlungsaufforderungen aufgrund unbestellten Waren wegen Identitätsdiebstahls. Allein für die Verletzung der Auskunftspflichten hatte kürzlich das Arbeitsgericht Düsseldorf den Arbeitgeber bereits 5.000 Euro Schadenersatz verurteilt. Das Urteil ist zwar nicht rechtskräftig, weil das Berufungsverfahren anhängig ist, aber die Tendenz ist klar: Die Schadenersatzklagen werden von den Unternehmen ernst zu nehmen sein. Unternehmen sollten daher DSGVO-Auskunftsanfragen pflichtgemäß beantworten und sich bei der Digitalisierung auch nachhaltig um die Einhaltung der Pflichten zur rechtmäßigen sicheren Datenverarbeitung nach der DSGVO kümmern. Nur wenn die Unternehmen das proaktiv fortlaufend tun, sind wir alle vor den massiven Schäden geschützt, die Datenpannen für Betroffene und beteiligte Unternehmen auslösen. Wertungswidersprüche würden auch zu den Bussgeldern entstehen, die die DSGVO in Höhe von bis zu 4 % des weltweiten Umsatzes der unternehmensgruppe ansetzt – diese Grundsätze und ein DSGVO Verstoß bei 500 Gewinnspielteilnehmern haben nach einer Pressemitteilung der Behörde zuletzt z.B. bei der AOK zu einem Bußgeldbescheid des Landesdatenschutzbeauftragten von Baden-Württemberg von 1.240.000 Euro geführt.
Interessant und bisher ungeklärt ist auch die Frage, ob Schadenersatzansprüche nur die betroffenen Kunden des Mastercard Priceless Specials Programm haben oder auch die in Mitleidenschaft gezogenen Händler, bei denen dann mit gefälschten Kreditkarten und Identitäten eingekauft und geliefert wurde. In Artikel 82 heißt es nämlich, dass jedermann, der durch den Datenschutzverstoß des Verantwortlichen einen Schaden erleidet, Anspruch auf Ersatz des materiellen und immateriellen Schaden gegen den Verantwortlichen hat. Dessen Verschulden ist dabei nach Art. 82 III DSGVO indiziert. Nach Erwägungsgrund 146 heißt es dazu: ….Satz 3: „Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. 4Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. 5Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. 6Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. 7Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden. 8Werden sie jedoch nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so können sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die jeder Verantwortliche oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält. 9Jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen.“
Es spricht also auch der Wortlaut und der europarechtlich geltende Effektivitätsgrundsatz dafür, dass auch die geschädigten Händler Schadenersatzansprüche gegen Mastercard haben (vgl. z.B. so auch Paal in MMR 2020, 14f.).
Zur Höhe des Schadenersatzes für die immateriellen Schäden bei einem Datenbreach spricht nach vorherrschender Ansicht der Datenschutzexperten, dass dieser analog etwa der Faktorrechtsprechung bei Verletzung von Urheberrechten durch Filesharing (Beispiel OLG Frankfurt Az. 11 U 44/19: 50facher Wert des Einzelpreises der „Downloadversion“ des Computerspiels betrug fast 1.950 Euro und führte zu einem Schadenersatzurteil über 2.100 Euro) abhängig von der Dauer und dem Ausmaß der Datenpanne ein Vielfaches des Wertes der Daten als eine fiktive Lizenzgebühr als Schadenersatz zuzuerkennen ist. Gerade das unkontrollierbare der einfachen anonymen Weiterverbreitung über Filehoster und die enorme Ersparnis des Zeitaufwandes für die gewerblichen Betrüger durch offen im Internet erhältliche illegale Datenbanken führen ja zu den gezielten massenweisen Verwertung durch Hacking-, Erpressungs- und Betrugsattacken der Straftäter. Es ist also wichtig, daß diese Ansprüche effektiv verfolgt werden können und möglichst alle Betroffenen entschädigt werden.

LG München II: Manipulationssoftware in VW Golf berechtigt zum Rücktritt

Erfreulich deutliche Worte hat der Richter am Landgericht München II (Urteil vom 15.11.2016 Az. 12 O 1482/16 in einem Fall zum VW-Abgasskandal gefunden, bei dem der Vorsitzende entschieden hat, dass der Käufer die Rückzahlung des Kaufpreises (abzüglich einer Minderung durch die Fahrleistung hier 13.697,66 €) Zug um Zug gegen Rückgabe des VW Golf Finxxxxxx  verlangen kann und er auch von seinen vorgerichtlichen Anwaltskosten für die Rücktrittserklärung mit Begründung in Höhe von 1.059,10 € freizustellen ist.

Zwar war die Anfechtungserklärung nicht wirksam, da die Händler selbst nicht getäuscht haben, aber wegen der Manipulationssoftware, die in Prüfsituationen den Abgasprüfern falsche Abgaswerte des Fahrzeugs simuliert, ist das Fahrzeug mangelhaft, nachdem sogar bis zum Ende der mündlichen Verhandlung unklar blieb, ob das Fahrzeug nach Reparatur und Änderung der Software wieder zulassungsfähig ist. Diese Unklarheit ist für den Käufer nicht zumutbar, daher war er – wie der Richter richtig entschieden hat – zum Rücktritt vom Kaufvertrag berechtigt.

Der Händler bzw. die Herstellerin als Beklagte zu 2 hat sich somit erfolglos damit zu verteidigen versucht, dass die Software dem „Stand der Technik“ entspreche, denn unstreitig gibt es Fahrzeuge, die ohne eine entsprechende Manipulationssoftware zu den vorschriftsmäßigen Abgaswerten kommen. Das Gericht führt dazu in der Begründung erfreulich klar aus:

„…Soweit die Beklagte zu 2) der Auffassung ist, dass es sich bei der verbauten Software um keine „Abschalteinrichtung“ im Sinne von Art. 3 Nr. 10 VO (EG) Nr. 715/2007 handelt…. Ist dies offensichtlich unzutreffend….Denn die Software ermittelt Parameter zum Erkennen des Strassenbetriebs und schaltet hierfür die AGR (= Abgasrückführung) ab….“

Schummelsoftware ist also mangelhaft im Sinne des Kaufrechts. Das wäre endlich geklärt und freut mich als IT-Fachanwältin umso mehr, wenn das endlich auch mal klar gerichtlich bestätigt wird. Für viele Tausend von den Prospektangaben getäuschte VW-Kunden bleibt zu hoffen, dass das Urteil rechtskräftig wird. Wozu haben wir zum Schutz der Umwelt Abgaswerte, wenn Hersteller und Händler und ihre in diesem Fall wohl skrupellosen Softwareentwicklern mit sowas durchkommen würden. Tun sie zum Glück nicht. Zwar war die Klage gegen VW als Herstellerin selbst nicht erfolgreich, weil zu ihr kein Vertragsverhältnis besteht und auch eine Prospekthaftung ausscheidet, aber der Händler kann ja beim Hersteller als Lieferanten Rückgriff nehmen.

 

 

BGH: Tierarzt muß für nachlässige Untersuchung 40.000 € Schadenersatz zahlen

mare-561221_640#(Tier-)Arzthaftung
Tierärzte müssen bei einem groben Behandlungsfehler im Streitfall grundsätzlich beweisen, dass dieser Fehler nicht für einen danach entstandenen Schaden verantwortlich ist. Das hat der Bundesgerichtshof (BGH) entschieden (Urt. v. 10.05.2016, Az. VI ZR 247/15) und somit muß ein Tierarzt für ein grob fahrlässig nicht richtig untersuchtes teures Pferd mit Wert von 40 000 € Schadenersatz zahlen. Das ist eine wichtige Beweiserleichterung für geschädigte Tierhalter, deren Tier an den Folgen leidet oder gar eingeschläfert werden muss, denn die Beweisführung dafür, dass ohne den Behandlungsfehler das Tier geheilt worden wäre, wird dem Tierhalter oft schwer bis unmöglich sein. Die in der Humanmedizin entwickelten Rechtsgrundsätze zur Beweislastumkehr bei groben Behandlungsfehlern sind daher nach der Entscheidung des höchsten deutschen Zivilgerichts auch bei tierärztlichen Behandlungen anzuwenden.
Grobe Behandlungsfehler sind insbesondere Befunderhebungsfehler. Ein wertvoller Hengst musste im zugrunde liegenden Fall eingeschläfert werden, weil der Tierarzt nach einer Trittverletzung nur die Wunde versorgt hatte, aber nicht wie es nach den Regeln der ärztlichen Kunst geboten gewesen wäre, näher untersucht hatte, ob das Tier eine Fissur am Knochen erlitten hatte. Wie sich einige Tage später herausstellte, hatte das Tier eine Fissur am Knochen erlitten und brach sich beim Aufstehen schließlich das Bein. Dieser Beinbruch konnte bei diesem Pferd wohl nicht mehr geheilt werden – die näheren Details dazu gehen aus der Pressemitteilung nicht hervor, aber Beinbrüche sind bei Pferden oft nicht heilbar. Wäre die Fissur bei der Untersuchung des Tierarztes erkannt und behandelt worden, hätte das verhindert werden können. Die nachlässige Untersuchung und Behandlung führte nun zur Haftung des Tierarztes auf Schadenersatz.