Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Uncategorized Verbraucherschutz

EUGH klärt Streitfrage zur #DSGVO Auskunftspflicht über die Identität der Empfänger

Mit dem Urteil des Europäischen Gerichtshofs (EuGH, Urteil vom 12.01.2023, C 154/21 (Österreichische Post AG) ist endlich eine der zentralen Streitpunkte zur DSGVO-Auskunftspflicht geklärt, nämlich dass der Verantwortliche über den Namen und Identität der Serviceprovider und sonstigen Empfänger der personenbezogenen Daten seines Mitarbeiters oder Kunden informieren muss. Das war bisher bei zahlreichen meiner Mandate einer der zentralen Streitpunkte, die oft gerade auch nach Datenpannen vor Gericht gelandet sind, weil die Verantwortlichen hier eine klare Auskunft verweigert haben. Ein Beispiel ist bei mir (unter vielen) der immer noch anhängige Rechtsstreit vor dem OLG Frankfurt, bei dem Mastercard Europe SA nach der Datenpanne in 2019 bei Mastercard Priceless Specials keine korrekte Auskunft über die Identität des Serviceproviders erteilt hat und erst als wir diese durch intensive überobligationsmäßige Recherchen in II. Instanz herausgefunden haben, den Serviceprovider aus Österreich und UK mitverklagt haben, der Kläger in dem Punkt Klarheit erlangt hat; hier hat also sehr mühsam und viel zu spät der Kläger erst aufgrund des weiteren Vortrags in den Berufungserwiderungen hierüber Klarheit erlangt und hat die Verletzung der Auskunftspflicht den Schaden noch vergrößert. Wegen des Schadenersatzes dafür wird noch auf die Entscheidung zu warten sein. Das Thema ist in vielen Branchen sehr relevant, gerade auch in der Versicherungswirtschaft, Finanzwesen, Gesundheitsbereich, e-Learning, Forschung und Entwicklung sowie öffentliche Verwaltung.

Wie der EuGH klargestellt hat, ist der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden sollen, verpflichtet, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen.
Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen.
Dies gilt ebenfalls, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Grund ist, dass der Kerngehalt der informationellen Selbstbestimmung verletzt wird und ein Kontrollverlust einsetzt, wenn der Verantwortliche die Identität der Auftragsverarbeiter und Geschäftspartner, an die er übermittelt, geheimhalten darf. Der Auftragsverarbeiter kann ja vom Betroffenen z.B. bei einer schuldhaften Datenpanne auch als Gesamtschuldner in Anspruch genommen werden. Soweit der Wortlaut von Art. 12, 15 DSGVO scheinbar ein Wahlrecht einräumt, sind damit nur die Fälle gemeint, in denen die Identität für den Verantwortlichen selbst nicht ermittelbar ist – etwa nach einer Datenpanne oder andere Ausnahmefälle, in denen wegen der Menge das Auskunftsersuchen des Betroffenen sinnlos und exzessiv ist.

Praxistipp: Unternehmen sollten ihre Praxis bei Auskunftsersuchen und die Datenschutzerklärungen hierzu ergänzen. Betroffene können wegen der Verletzung dieser Pflicht ggfs. Schadenersatzansprüche geltend machen und sich bei Aufsichtsbehörden beschweren (beides unabhängig voneinander wie der EUGH ebenfalls am 12.1.2023 in einem weiteren Urteil klargestellt hat). Bei Rückfragen dazu stehe ich gerne zur Verfügung, nehmen Sie gerne Kontakt zu mir auf.
Den Volltext des EUGH Urteils gibt es hier: Den https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=186062

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Schadensrecht Uncategorized Verbraucherschutz

OLG Frankfurt: Xing-Irrläufernachricht – Gericht fordert konkrete Darlegung des immateriellen Schadens für den erfolglosen Bewerber

E-mail Irrläufer sind ebenso wie über einen Messenger schnell passiert. Ein Händler hat sich 2018 bei einer Bank beworben via Xing und wegen eines versehentlichen „Klicks“ auf die falsche Person, sendete die Bank irrtümlich eine Nachricht an einen Bekannten des Händlers, der pikanterweise bei der gleichen Bankengruppe beschäftigt war. Die eigentlich für den Kläger bestimmte Nachricht enthielt den Text:

Lieber Herr B, ich hoffe es geht Ihnen gut! Unser Leiter – Herr C – findet ihr Händler Profil sehr interessant. Jedoch können wir Ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, D


Der Empfänger kannte den Herrn B. und späteren Kläger des Rechtsstreits gegen die Bank und fragte bei ihm zurück. „Du?“ So bekam der Kläger – wie oft bei solchen Irrläufern – zufällig Kenntnis von der Datenpanne. Während das Landgericht nach erfolgloser Abmahnung und Klage auf Unterlassung, Kostenerstattung und Schadenersatz die Bank u.a. zu 1.000 Euro immateriellem Schadenersatz verurteilt hatte, hat der 13. Senat des Oberlandesgerichts Frankfurt am Main nun dieses Urteil des Landgerichts Darmstadt vom 26. Mai 2020 im Hinblick auf den Schadenersatz aufgehoben. Im Übrigen bestätigte er aber auch die Verurteilung der Bank zur Unterlassung und Kostenerstattung in Bezug auf die Anwaltskosten für die Abmahnung in Höhe von 1.025,55 € nebst Zinsen (OLG Frankfurt, 13. Zivilsenat, Urteil vom 02.03.2022, Az. 13 U 206/20 – noch nicht rechtskräftig).

Begründung des Senats stark verkürzt zusammengefasst: Zwar bestehe ein Unterlassungsanspruch, weil den Umständen nach aufgrund der persönlichen Bekanntheit des irrtümlichen Empfängers der über XING gesendeten Nachricht, dieser den Betroffenen „Herr B…“ anhand Name, Anrede und Kontext der Nachricht identifizieren konnte. Identifizierbar seien solche Nachrichten auch dann, wenn der Nachname häufig vorkommt. Es ist nämlich auch nicht erforderlich, dass die zur Identifizierbarkeit erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. EUGH, Urteil vom 20. Dezember 2017 – Rs. C-434/16, NJW 2018, 767 – Nowak). Es ist auch nicht erforderlich, dass die Identifizierbarkeit zweifelsfrei erfolgt, denn vorliegend ist es dem Dritten ja unmittelbar gelungen, den Kläger zu identifizieren, auch wenn er sicherheitshalber nachgefragt hat, indem er die Nachricht an ihn weitergeleitet hat und dazu die Frage schrieb: „Du?“

Der Kläger habe aber keinen immateriellen Schaden im Sinne von Art. 82 DSGVO vorgetragen. Damit folgt der 13. Senat der bei den Zivilgerichten vorherrschenden Auffassung, dass allein der Kontrollverlust und die Ungewissheit bei einer Datenpanne, wer die durch den Datenschutzverstoß erlangten Daten unbefugt genutzt oder sogar noch weitergegeben hat, kein ersatzfähiger immaterieller Schaden sei.

Anmerkung zum Urteil von Rechtsanwältin Hagendorff: Diese Sichtweise, es sei doch kein Schaden entstanden, erscheint hier nicht überzeugend. Denn der Kläger wurde ja nicht eingestellt und hatte die Ungewissheit, ob der Bekannte, der im Rahmen der Unternehmensgruppe seines Arbeitgebers arbeitete, die Daten vertraulich behandelte oder möglicherweise dem jetzigen Arbeitgeber einen Hinweis gegeben hat, dass der Kläger sich anderweitig bewerbe und mit welchen Gehaltsvorstellungen. Das wäre sicher für seine Karriere im Unternehmen seines bisherigen Arbeitgebers nicht förderlich, sondern eher schädigend gewesen. Wechselwillige Mitarbeiter werden nicht befördert und müssen berufliche Nachteile beim bisherigen Arbeitgeber erwarten. Es ist doch lebensfern, vom geschädigten Kläger zu erwarten, das dezidiert darzulegen, denn es liegt auf der Hand. Da es rechtswidrig weitergegebene Informationen sind, würde in so einem Fall ihm kaum jemand bei seinem Arbeitgeber darauf hinweisen. Nach Erwägungsgrund 146 S. 6 soll der immaterielle Schadenersatzanspruch sicherstellen, dass der verletzte Betroffene einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält und dieser abschreckend sein soll. Im Ergebnis wird also der effektive Rechtsschutz entgegen dem Effektivitätsgebot und den Grundsätzen des EUGH zum „effet utile“ verkürzt auf die wenigen Fälle, in denen der Betroffene zufällig an die Informationen zum Schadenseintritt gelangt. Das erscheint mir nicht europarechtskonform und nicht sonderlich überzeugend zu sein. In der Praxis unterstützt das nämlich die Haltung, die leider in vielen Unternehmen und Behörden vorherrscht: Stößt man zufällig auf einen Datenschutzverstoß und macht die Löschung und einen Schadenersatzverstoß geltend, heisst es regelmäßig, es sei doch ein Versehen gewesen, ein Einzelfall und es sei doch „kein Schaden“ entstanden….Der Datenschutz wird ohne Sanktion eben nicht hinreichend ernst genommen. Dies hat hier auch die Beweisaufnahme durch Vernehmung des Zeugen beim Landgericht bestätigt: Es gab laut Gericht 1. Instanz keine richtigen Schulungsmaßnahmen oder anderweitige Vorkehrungen bei der Beklagten, die der betreffenden Mitarbeiterin oder weiteren Mitarbeitern effektive Maßnahmen an die Hand gegeben hätten, eine Wiederholung von Irrläufern und Pannen dieser Art zu vermeiden. Ohne Schadenersatzrisiken wird sich daran wahrscheinlich in Zukunft auch nicht viel ändern. Von dem Urteil des OLG geht daher das falsche Signal aus.

Auch das angeführte Argument, dass sonst ein Ausufern bei für den Betroffenen tatsächlich folgenlosen Datenpannen zu befürchten sei, geht an der Rechtswirklichkeit vorbei. Denn wegen des Aufwands eines Rechtsstreits sind nur wenige Betroffene bereit, in solchen Fällen zu klagen – jedenfalls solange es um verhältnismäßig geringe Beträge wie hier 1.000 Euro laut Landgerichts Urteil oder 2.500 Euro wie vom Kläger in der Anschlussberufung beantragt – geht.

Positiv aber ist, dass die häufig ebenfalls zu hörende Standardausrede, der Anspruch werde mißbräuchlich geltend gemacht, vom OLG auch nicht akzeptiert wurde und sowohl die Abmahnung als berechtigt und damit wenigstens auch die Anwaltskostenerstattung bestätigt worden ist (hier aus einem Streitwert von 15.000 € also 10.000 für die Unterlassung, 5.000 für die Auskunft). Möglicherweise hätte hier der Kläger zu seiner Angst vor beruflichen Nachteilen bei seinem bisherigen Arbeitgeber bei Kenntnisnahme von der Bewerbung näher vortragen sollen – so meint der Senat. Dass der Kläger sich mit solchen Darlegungen dann aber zusätzlich selbst weiter geschädigt hätte, obwohl dies naheliegt, hat der Senat hierbei aber nicht bedacht. Schließlich sind sowohl die mündlichen Verhandlungen öffentlich als auch die Urteile – auch wenn der Name der Parteien anonymisiert wird, wird er für Insider der Branche oft bekannt. Positiv ist auch, dass der Senat bestätigt hat, dass in Fällen wie diesen die Hinzuziehung eines Rechtsanwalts wegen der Schwierigkeit der Angelegenheit zur zweckentsprechenden Rechtsverfolgung erforderlich ist und dessen Kosten erstattungsfähig sind in der gesetzlichen Höhe nach dem RVG.

Eine Ausuferung von Schadenersatzklagen bei solchen Beträgen ist wegen des unverhältnismäßigen Aufwands nicht zu befürchten, wenn für Fälle dieser Art ein Schadenersatz von 1.000-2.000 Euro zu erstatten ist. Erst bei höheren Beträgen ziehen erfahrungsgemäß überhaupt eine relevante Anzahl von Menschen und Anwälten die Rechtsverfolgung und aufwendigen Klageverfahren in Betracht. Insgesamt überzeugt mich das Urteil aber wegen der Abweisung des immateriellen Schadenersatzes aber nicht.

Noch ein Hinweis: Wie das Gericht zu Recht anmerkt, sieht das Bundesarbeitsgericht, weitere Arbeitsgerichte und Oberlandesgericht München ebenfalls bereits den Kontrollverlust wegen einer unbefugten Weitergabe personenbezogenen Daten oder eine Datenschutzverletzung durch verspätete oder unvollständige Auskünfte nach Art. 15, 82 DSGVO als erstattungsfähigen immateriellen Schaden an und hat wegen der grundsätzlichen Bedeutung der Senat auch die Revision zum Bundesgerichtshof zugelassen. Die Frage ist also noch nicht abschließend geklärt. Zudem gibt es auch bereits einschlägige Vorlageverfahren beim Europäischen Gerichtshof dazu.

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Schadensrecht Uncategorized Verbraucherschutz

Landgericht Mainz verurteilt Stromanbieter zu 5.000 Euro Schadenersatz wegen rechtswidriger Meldung an SCHUFA

Vorschnelle negative Schufa-Meldungen sind ein erheblicher Schaden für die Kreditfähigkeit eines Betroffenen. Die Voraussetzungen sind daher streng geregelt. Das Landgericht Mainz hat mit Urteil vom 12.11.2021 – Az. 3 O 12/20 einen Stromanbieter u.a. zur Zahlung von 5.000 Euro immateriellem Schadenersatz nach Art. 82 Abs. 1 DSGVO verurteilt, weil dieser vorschnell eine rechtswidrige negative Schufaeinmeldung als “uneinbringlich” im Laufe eines gerichtlichen Mahnverfahrens veranlasst hatte. Es stellten sich Pannen im Vorverfahren heraus und der Vollstreckungsbescheid war noch nicht rechtskräftig. Der Stromanbieter und spätere Beklagte hatte zwar Mahnungen versendet und ein gerichtliches Mahnverfahren wegen der erfolglos angemahnten Stromrechnung durchgeführt, jedoch den Zugang der Mahnungen und Mahnbescheid sowie die nach § 31 BDSG vorgeschriebene vorherige Ankündigung der negativen Schufa-Einmeldung hatte der betroffene Kläger bestritten und konnte der Stromanbieter nicht beweisen, also wäre eine Einmeldung erst mit einem rechtskräftigen Vollstreckungsbescheid zulässig gewesen. Der Stromanbieter hat aber bereits zum Zeitpunkt des Erlasses des Vollstreckungsbescheids diese Einmeldung verfrüht und damit rechtswidrig bei der Schufa eingemeldet. Der klägerische Familienvater hatte glaubhaft versichert, dass er die Mahnungen mit Unterrichtung über den drohenden Schufa-Eintrag nicht erhalten hatte; der Mahnbescheid lag ihm auch nicht vor, den hatte wohl das Au-pair-Mädchen seiner Kinder angenommen, ihm aber nicht ausgehändigt. Nach Zustellung des Vollstreckungsbescheids hatte der Kläger die Forderung dann bezahlt, sodass sich er sich zu Recht gegen die Einmeldung als “uneinbringliche Forderung” gewendet hat. Die Einmeldung war – so das Gericht – nicht aufgrund der Bestimmung des Art. 6 Abs. 1 lit f, Abs. 4 DSGVO zulässig. Zwar besteht ein erhebliches Interesse der Kreditwirtschaft an den Bonitätsdaten und somit ein erhebliches Informationsinteresse der Verkehrsteilnehmer, aber bei der gebotenen Interessenabwägung sind die Wertungen des § 31 BDSG zu berücksichtigen, die sicherstellen sollen, dass bei der Verarbeitung von Bonitätsdaten dem Schuldner vorher rechtliches Gehör gewährt wird und er innerhalb einer angemessenen Karenzzeit die Möglichkeit hat, den Eintrag zu vermeiden und vorher die Schulden zu begleichen. Hier war es so, dass die Stromrechnung von 493,81 € zwar angemahnt worden war, jedoch der Zugang einer vorherigen Ankündigung einer drohenden Schufa-Einmeldung nicht nachgewiesen werden konnte. Gleiches galt für die Zustellung des gerichtlichen Mahnbescheids. Die Einmeldung bereits zum Zeitpunkt des Erlasses des Vollstreckungsbescheids war unter diesen Umständen verfrüht. Mit Fehlern bei der Zustellung muss ein Absender rechnen, wenn ihm kein Zugangsnachweis vorliegt und damit war zur Überzeugung des Gerichts wegen der streitigen Zustellungspannen noch nicht sicher eine hinreichende Karenzzeit verstrichen, in der der klägerische Schuldner die Gelegenheit hatte, die Forderung zu begleichen. Diese Wertungen entnimmt das Gericht der Regelung des § 31 BDSG, weil darin die Voraussetzungen geregelt sind, unter denen Auskunftsdienste wie die SCHUFA AG  Bonitätsdaten nutzen und damit einen Scorewert erstellen und diesen beauskunften dürfen. Die Voraussetzungen des § 31 BDSG waren hier im Zeitpunkt der Einmeldung nicht hinreichend dargetan und bewiesen. Dies hätte der Stromanbieter bei gewissenhafter Prüfung erkennen müssen, insbesondere bei Titulierung mit dem Vollstreckungsbescheid dem Schuldner erst noch eine angemessene Karenzzeit zur Begleichung der Fordlerung einräumen müssen, nachdem er keine Beweise für den fehlerfreien Zugang der Mahnungen, Ankündigungen und des Mahnbescheids des Gericht vorliegen hatte.

Die Höhe des immateriellen Schadenersatzes nach Artikel 82 Abs. 1 DSGVO hat das Gericht hier mit 5.000 Euro bemessen. Aufgrund des Negativ-Eintrags bei der Schufa wurden dem Kläger die Kreditkarten gesperrt, die er beruflich benötigte, und drohte ihm eine Immobilienfinanzierung zu platzen. Deshalb erlitt er einen massiven immateriellen Schaden in Form des Verlusts der Bonität bei Kreditgebern durch einen negativen Scorewert bei der Schufa. Dieser Schaden war nach Ansicht des Gerichts auch zumindest fahrlässig verschuldet, weil nach Art. 82 Abs. 3 DSGVO eine Fahrlässigkeit vermutet wird, wenn nicht der Beklagte als verantwortliches Unternehmen Umstände darlegen und beweisen kann, die ihn entschuldigen. Mangels Beweisen für die behaupteten Mahnungen mit Unterrichtung über die drohende Schufa-Einmeldung und auch mangels Beweis für die Zustellung des Mahnbescheids, den der Kläger bestritten hatte, konnte der Stromanbieter somit das Vorliegen der Voraussetzungen der Einmeldung als “uneinbringliche Forderung” nicht nachweisen. Eine Einmeldung nach § 31 Abs. 2 Nr. 4 BDSG, der die Voraussetzung der Verarbeitung von Bonitätsdaten durch Auskunftsdienste regelt, darf nur erfolgen wenn entweder nach Nr. 1 ein rechtskräftiges Urteil über eine offene Forderung vorliegt (der Vollstreckungsbescheid war bei Erlass hier noch nicht rechtskräftig, weil dagegen erst noch ein Einspruch zulässig ist) und nach § 31 Abs. 2 Nr. 4 BDSG ohne einen rechtskäftigen gerichtlichen Zahlungstitel folgende Voraussetzungen hätten vorliegen müssen, die hier auch nicht gegeben waren, nämlich:

  • der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
  • die erste Mahnung mindestens vier Wochen zurückliegt,
  • der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
  • der Schuldner die Forderung nicht bestritten hat

Daneben hat das Gericht den Stromanbieter auch verpflichtet, der Schufa Holding AG mitzuteilen, dass derjenige Zustand auch im Hinblick auf die Berechnung von Scorewerten wiederhergestellt werden soll, als habe es den näher bezeichneten Negativeintrag der Beklagten nicht gegeben. Das Urteil vom 12.11.2021 ist noch nicht rechtskräftig.

Wie viel Tage die Karenzzeit dauert, darüber hatte das Gericht hier nicht zu entscheiden. Aber unter Berücksichtigung der Wertungen des § 31 BDSG, auf die das Gericht im Rahmen der Auslegung der Rechtsgrundlage nach Art. 6 Abs. 1 lit.f DSGVO abstellt, hätte die für den Vollstreckungsbescheid vorgeschriebene Einspruchsfrist von 2 Wochen ab dessen Zustellung abgewartet werden müssen oder hätte der Stromanbieter Nachweise für mindestens 2 vorgerichtliche Mahnungen mit den nach § 31 BDSG vorgeschriebenen Zeitabständen und Ankündigung einer Meldung an die Schufa sicherstellen müssen, um Zustellungsfehler auszuschließen. Die 2 Wochen-Notfrist entspricht auch der Einspruchfrist gegen den Vollstreckungsbescheid nach §§ 700 i.V.m. 339 Abs. 1 ZPO, daher ist davon auszugehen, dass die angemessene Karenzzeit bei vorgerichtlichen unbestrittenen Mahnungen 2 x 2 Wochen ist und ansonsten im gerichtlichen Verfahren abgewartet werden muss, ob innerhalb der genannten Fristen Rechtsmittel gegen das Urteil oder den Vollstreckungsbescheid eingelegt wurde.

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Schadensrecht Uncategorized Verbraucherschutz

DSGVO-Schadenersatzklagen nach Datenpanne gegen Verantwortliche nicht rechtsmissbräuchlich

update 24.11.2022: In dem hier berichteten Verfahren ist weiterhin ein Berufungsverfahren vor dem OLG Frankfurt anhängig und haben wir zusätzlich auch die Auftragsverarbeiter mitverklagt. Da es ungewöhnlich (aber mangels korrekter identifizierender Auskunft über die Namen der Serviceprovider nicht von uns verschuldet ist), dass jetzt erst die Auftragsverarbeiter in Berufung mit verklagt wurden, hat die Gegenseite sich vor allem erst mal auf Zulässigkeitsfragen und Fragen der Darlegungs- und Beweislast berufen. Es gab noch keine Entscheidung. Ich habe Förderung des Verfahrens angemahnt im Juni und nunmehr am 5.11.2022 die Verzögerungsrüge nach § 198 GVG erheben müssen, damit das Land notfalls haftet, weil leider das Gericht das Verfahren verzögert. Ich hoffe, das Verfahren wird nun endlich vom Gericht pflichtgemäß betrieben und werde bei Neuigkeiten von allgemeinem Interesse berichten. #Die Mühlen der Justiz mahlen langsam aber meistens gründlich.

Ich schrieb Ende 2020: Ich habe am 19.11.2020 mit meinem Mandanten einen Termin vor dem Landgericht Frankfurt wahrgenommen, in dem es um eine Klage wegen unzureichender Auskunft nach Art. 15 DSGVO und Schadenersatz nach Art. 82 Abs. 1 DSGVO gegen die Mastercard Europe SA (mit Sitz in Waterloo, Belgien) ging, die im Sommer 2019 im Rahmen ihres Bonusprogramms Mastercard Priceless Specials eine Datenpanne erlitt. Der Kläger wirft der Beklagten vor, die Pflicht zur Auskunft über die Empfänger nicht konkret erfüllt zu haben, denn nach den bisherigen Informationen war Ursache des Hacks ein leicht zu erratendes Standardpasswort eines Administrators der Plattform für das Bonusprogramm. Das bedeutet, dass pflichtgemäße Penetration Tests, die nach den branchentypischen Sicherheitsstandards (Payment Card Industry Data Security Standards -PCI DSS v.3.2.1 vom Mai 2018) alle 6 Monate hätten stattfinden müssen, die Datenpanne höchstwahrscheinlich verhindert hätten. Die Beklagte hat diese jedoch nicht konkret dargelegt und unter Beweis gestellt. Auch bleibt unklar, wer eigentlich die Vertragspartner und Betreiber des Bonusprogramms waren. Wenn die Muttergesellschaft aus den USA den Dienstleister ausgesucht und unzureichend kontrolliert hat, wäre dies ebenfalls eine Schadensursache, die auf DSGVO Verstößen beruht, weil die DSGVO sowohl die Auslagerung auf eine US-amerikanische Mutter unter dem Vorbehalt einer Rechtsgrundlage und geeigneter Garantien für dieses Outsourcing unterwirft und nach Art. 28 DSGVO der Dienstleister, der personenbezogene Daten verarbeitet, hinreichend schriftlich verpflichtet und kontrolliert wurde.
Die Beklagte hat sich hier u.a. damit verteidigt, die Klage sei rechtsmißbräuchlich, man müsse die Auftragsverarbeiter nicht konkret benennen, und nach den allgemeinen Darlegungs- und Beweislastregeln habe der Kläger zu beweisen, durch welche Pflichtverstöße konkret die Schäden verursacht seien. Der Artikel 82 Abs. 3 DSGVO sei nicht so wörtlich zu nehmen, wenn dort stehe, dass der Verantwortliche nur von einer Haftung frei kommt, wenn er nachweist, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist. Ferner seien die Schäden wie der Kontrollverlust über die Risiken für den Kläger nach Meldung der Datenpanne und Veröffentlichung in einer großen Datenbank, die Besorgnis über Identitätsdiebstahl, Profilbildung zum Nachteil des Betroffenen, die Spamnachrichten und Spamanrufe kein ersatzfähiger Schaden. Demgegenüber hatte der Kläger argumentiert: Bei der Produkthaftung oder in Filesharing-Fällen hat die Rechtsprechung ebenfalls die Anforderungen an die Darlegung und Beweislast zu Lasten desjenigen, der die Gefahrenquelle beherrscht, verschoben, daher ist das nicht systemwidrig, sondern erforderlich, um dem Datenschutz wirksam zur Geltung zu verhelfen und die DSGVO normiert klar, dass die Betroffenenrechte wie Auskunft und Schadenersatz wirksam sein müssen und hierbei auch ein immaterieller Schadenersatz z.B. für den Kontrollverlust über seine personenbezogenen Daten bei einer Datenpanne vorsieht.
Den Argumenten der Verteidigung stimmte die erkennende Richterin nach Anhörung des Klägers zu den Spamanrufen und Diskussion in einigen Punkten ausdrücklich nicht zu. Zum einen sei es für sie ganz klar nicht rechtsmißbräuchlich, wenn Betroffene nach einer Datenpanne und Veröffentlichung von Kundendatenbanken ihre Rechte auf Auskunft und Schadenersatz gegen die Verantwortlichen nach der DSGVO geltend machen und sie verstehe nicht, warum denn nicht die Mastercard Europe SA wenigstens pauschal ein Friedensangebot in Höhe von z.B. 150 Euro Entschädigung gemacht habe. Belästigende Spamanrufe, die unmittelbar nach der Veröffentlichung einsetzten und erst vor ca. 3 Monaten wieder aufhörten, scheinen doch recht klar im Zusammenhang mit der Veröffentlichung der Kundendatenbanken aus dem streitgegenständlichen Mastercard Priceless Specials Programm zu stehen und die Beklagte war für die Sicherheit des Bonusprogramms verantwortlich. Ob auch die beantragte Enschädigung für die 950 Coins, die der Kläger ebenfalls in Höhe von 1 Euro je Coin geltend macht, weil inzwischen im Gegensatz zu den Angeboten bekannter Marken vor der Datenpanne nur noch recht wertlose Einlösemöglichkeiten von unbekannten Anbietern angeboten werden, ist noch ungewiss. Wie genau das Gericht entscheiden wird, wird spannend.
Termin zur Verkündung einer Entscheidung ist am 18.01.2021.

Update 03.02.2021: Das Landgericht hat in dieser Sache die Klage – wie ich finde zu Unrecht – abgewiesen, der Beklagte beabsichtigt dagegen Berufung einzulegen. Volltext des Urteils siehe hier.