Landgericht München I, Urteil vom 19.04.2024 – 31 O 2122/23
Hintergrund
Bei der Beklagten handelt es sich um eine Finanzdienstleisterin, die über ihre Webseite Wertpapierdienstleistungen erbringt, wobei es sich hauptsächlich um die individuelle Vermögensverwaltung von Privatkunden und Finanzdienstleistungen im Softwarebereich handelt. Die Beklagte bietet außerdem Brokerage-Services an und verschafft Einlagemöglichkeiten wie Tagesgeld, Festgeld und Flexgeld. Geklagt hatte vorliegend ein Kunde der Beklagten, der bei dieser ein Kundenkonto innehat.
Bis zum Jahr 2015 hatte die Beklagte ihrem damaligen IT-Dienstleister die Administrationsrechte zugewiesen, bei diesem waren also die Zugangsinformationen zu ihrem gesamten IT-System hinterlegt. Als die Beklagte dann den IT-Dienstleister wechselte, wurden weder das Passwort noch die Zugangsdaten geändert und die Beklagte überprüfte auch nicht, ob ihr früherer IT-Dienstleister die Zugangsdaten gelöscht hatte. Bei diesem IT-Unternehmen kam es dann zu einem Hackerangriff, infolgedessen die Angreifer Zugriff auf die Zugangsdaten der Beklagten und somit Einsicht in deren Kundendateien erhielten. Dabei gelang es den Hackern auch, auf die personenbezogenen Daten des Klägers zuzugreifen.
Im Oktober 2020 informierte die Beklagte den Kläger über diesen Vorfall, wobei dieser zunächst keine weiteren Nachfragen dazu anstellte, da er auf die Vollständigkeit der ihm erteilten Informationen vertraute und daher keinen Anlass sah, konkreter bei der Beklagten nachzufragen. Nachdem die ihn nun vertretende Kanzlei im Dezember 2022 das Mandat des Klägers übernahm, schlug diese vor, von der Beklagten weitere Auskünfte zu verlangen.
Der Kläger machte im Nachgang zu der Erteilung der Auskünfte durch die Beklagte geltend, dass ihm durch das Datenleck und die dadurch bedingte unbefugte Weitergabe seiner personenbezogenen Daten ein immaterieller Schaden entstanden sei, weshalb er einen Schadensersatz gemäß Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) forderte. Er sei seit diesem Datenleck besorgt, dass seine personenbezogenen Daten missbraucht werden könnten. Außerdem machte er einen Unterlassungsanspruch gegen die Beklagte geltend.
Das Landgericht München I wies die Forderungen des Klägers vollumfänglich als unbegründet ab.
Gründe
Hinsichtlich des Unterlassungsantrags bemängelte das Landgericht München I die Unbestimmtheit des Antrages des Klägers, da dieser nicht hinreichend hinsichtlich der zu unterlassenden Handlungen konkretisiert worden sei.
Den Anspruch auf immateriellen Schadensersatz gemäß Art. 82 Abs. 1 DSGVO lehnte das Gericht dagegen ab, da dieser nicht begründet sei. Hinsichtlich des Vorliegens eines immateriellen Schadens ist die Klagepartei darlegungs- und beweispflichtig. Es obliegt daher dem Kläger, vorzubringen, dass und inwiefern er durch das Datenleck einen konkreten, kausal entstandenen immateriellen Schaden erlitten hat.
Hinsichtlich eines immateriellen Schadens hatte der Kläger ausgeführt, dass er Sorge vor Identitätsdiebstahl, Passwortklau, Phishing und unzulässigen Werbemails und Werbeanrufen habe. Seit dem Datenleck sei er daher besorgter, Opfer solcher Missbrauchsmöglichkeiten zu werden und würde ein stärkeres Misstrauen gegenüber unbekannten E-Mails und Anrufen empfinden.
Das Gericht führte dazu aus, dass die Sorge vor Nachrichten mit missbräuchlicher Intention oder anderen datenmissbräuchlichen Handlungen Dritter gemeinhin jeden treffen würde und nicht nur konkret den Kläger. Diese Ausführungen seien daher zu allgemein, formelhaft und seien bereits in einer Vielzahl von Verfahren als Gründe angebracht worden.
Ein erhöhtes Spam-Aufkommen und die Zunahme von betrügerischen Kontaktversuchen auf dem Mobiltelefon des Klägers sah das Gericht ebenfalls nicht als Indiz für einen Datenmissbrauch gerade aufgrund des Datenlecks bei der Beklagten an. Vielmehr sei dies Teil des allgemeinen Lebensrisikos und aufgrund der zunehmenden Notwendigkeit im Online-Verkehr etwa im Rahmen von Einkäufen und Reservierungen Daten preiszugeben und dem damit stetig wachsenden Missbrauchs- und Zugriffsrisiko seitens krimineller Dritter nicht vermeidbar.
Bewertung
Das Landgericht München I lehnte einen Anspruch des Klägers auf immateriellen Schadensersatz ab, da dieser das Vorliegen eines Schadens nicht genügend begründet und bewiesen hatte. Gemäß Art. 82 Abs. 1 DSGVO kann eine Person, der aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, ein Anspruch auf Schadensersatz gegen den Verantwortlichen zustehen. Diese Norm dient also als Anspruchsgrundlage für derartige Schäden.
Dass ein solcher materieller oder immaterieller Schaden tatsächlich besteht, muss der Kläger konkret beweisen und dabei vor allem die Kausalität zwischen dem Schaden und der Verletzung der Datenschutzbestimmungen darlegen. Um einen Schadensersatzanspruch geltend zu machen, genügt es jedoch nicht, dass bloß ein Verstoß gegen die DSGVO vorliegt, vielmehr muss dieser Verstoß tatsächlich einen Schaden herbeigeführt haben.
Dabei muss der immaterielle Schaden nicht besonders schwerwiegend sein. Lesen Sie dazu etwa auch eine aktuelle Entscheidung des Europäischen Gerichtshofs aus dem vergangenen Jahr, in der dieser feststellte, dass der eingetretene Schaden keine Erheblichkeitsschwelle erreichen muss, sondern auch ein geringfügiger Schaden bereits geltend gemacht werden kann.
Julia Wulf
Anwältin für Datenschutzrecht
Lesen Sie mehr zu den Schwerpunkten unserer Kanzlei unter www.rnsp.de.