Entscheidung des Landgerichts München vom 19.04.2024 – 31 O 2122/23
Hintergrund
Der Kläger war Kunde der Beklagten, die über ihre Website Finanz- und Wertpapierdienstleistungen anbietet. Im Zuge seiner Geschäftsbeziehung hatte der Kläger der Beklagten umfassende personenbezogene Daten, einschließlich sensibler Identifikationsunterlagen, zur Verfügung gestellt.
Im Jahr 2020 kam es zu einem massiven Datenleck: Hacker nutzten alte Login-Daten eines ehemaligen IT-Dienstleisters, die von der Beklagten nach Vertragsende nicht gesperrt oder kontrolliert worden waren, und verschafften sich mehrfach Zugang zum Dokumentenarchiv der Beklagten. Dabei wurden die Daten von insgesamt 33.200 Personen (ca. 389.000 Datensätze) abgegriffen, darunter auch die Daten des Klägers, die im Darknet angeboten wurden.
Der Kläger erhob – nachdem er 2022 anwaltliche Vertretung in Anspruch genommen hatte – Klage auf immateriellen Schadensersatz nach Art. 82 DSGVO (3.000 €), Schadensersatz für eine angeblich unzureichende oder verspätete Datenauskunft, Feststellung der künftigen Schadensersatzpflicht, Unterlassung künftiger Datenverstöße und Tragung seiner Rechtsanwaltskosten. Seine Begründung: Die Beklagte habe unzureichende technische und organisatorische Maßnahmen getroffen und gegen die Grundsätze der „Privacy by Design“ und „Privacy by Default“ verstoßen. Der Vorfall habe ihn in Sorge versetzt, er fürchte Identitätsdiebstahl, Spam-Angriffe und Kontrollverlust über seine Daten.
Die Beklagte hielt dem entgegen, dass kein adäquater Schaden nachweisbar sei, die notwendigen Meldungen an Aufsichtsbehörden erfolgt seien und die verlangten Auskünfte vollständig erteilt wurden.
Das Landgericht München wies die Klage im Wesentlichen ab.
Gründe
Das Gericht stellte zunächst klar, dass einzelne Anträge (Feststellung künftiger Schäden, Unterlassung, Auskunft) bereits unzulässig seien – insb. mangels Feststellungsinteresse (§ 256 ZPO), wegen Unbestimmtheit der Unterlassungsanträge (§ 253 Abs. 2 Nr. 2 ZPO) und fehlendem Rechtsschutzbedürfnis hinsichtlich der Auskunft.
In der Sache verneinte die Kammer insbesondere einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO. Zwar sei die DSGVO weit auszulegen, eine Erheblichkeitsschwelle für Schäden bestehe nicht. Erforderlich sei aber das Vorliegen eines konkreten immateriellen Schadens, der kausal auf einen Verstoß zurückzuführen sei (vgl. EuGH, Urt. v. 4.5.2023 – C-300/21). Ein bloßer Verstoß oder die abstrakte Sorge um mögliche Missbrauchsszenarien reiche nicht.
Das Gericht stellte fest, dass der Kläger lediglich allgemeine Sorgen (Spam, Misstrauen, Befürchtung möglicher Missbräuche) vorgetragen habe. Konkrete Folgen – wie etwa tatsächlicher Identitätsdiebstahl, finanzieller Schaden oder feststellbare psychische Belastungen – seien nicht substantiiert dargetan. Die informatorische Anhörung bestätigte dies: der Kläger sei nach wie vor Kunde der Beklagten und habe selbst eingeräumt, dass keine konkreten Missbrauchsfälle eingetreten seien. Ein bloß „unangenehmes Gefühl“ genüge nicht, um die Haftung nach Art. 82 DSGVO auszulösen.
Auch der behauptete Auskunftsverstoß nach Art. 15 DSGVO trage keinen Schadensersatzanspruch. Die Beklagte habe die Auskünfte rechtzeitig und zutreffend erteilt. Selbst eine hypothetisch verspätete oder unvollständige Auskunft sei keine „Verarbeitung personenbezogener Daten“ im Sinne des Art. 82 DSGVO, sodass es bereits an einer passenden Anspruchsgrundlage fehle.
Das Gericht stellte somit keine Ersatzpflicht fest; die Klage hatte keinen Erfolg.
Bewertung
Das Urteil ist sowohl für Unternehmen als auch für Verbraucher/Betroffene von erheblicher Bedeutung.
Für Unternehmen verdeutlicht die Entscheidung, dass die bloße Tatsache eines Datenvorfalls nicht automatisch zu einer Entschädigungspflicht führt. Vielmehr muss der Kläger konkret und substantiiert Schäden darlegen, die kausal auf den Vorfall zurückzuführen sind. Unternehmen sind aber dennoch gehalten, technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO sorgfältig umzusetzen und dokumentiert nachzuweisen – allein schon, um regulatorische Sanktionen der Aufsichtsbehörden zu vermeiden. Nach der hier vertretenen Linie können Schadensersatzklagen leichter abgewehrt werden, wenn Betroffene nur pauschale Ängste oder allgemeine Unannehmlichkeiten vortragen.
Für Betroffene – also Verbraucher – schwächt das Urteil die Position deutlich. Es zeigt, dass nicht jede abstrakte Sorge oder die subjektive Belastung durch Spam-Nachrichten einen Schadensersatzanspruch begründet. Die Rechtsprechung stellt klar, dass sich Art. 82 DSGVO nicht zu einem „Strafschadensersatz“ ohne konkrete Beeinträchtigung entwickelt. Wer Schadensersatz geltend macht, muss – trotz weiter Auslegung des Begriffs – tatsächlich erlittene immaterielle Schäden, wie z.B. Angstzustände, Depressionen oder messbare Einschränkungen im Alltag, darlegen und beweisen.
Für den Rechtsverkehr insgesamt schafft das Urteil eine gewisse Klarheit: Nach dem EuGH war die Diskussion in Deutschland gespalten, ob bereits jede DSGVO-Verletzung „an sich“ einen Schadensersatzanspruch auslöst. Das Gericht stellt hier klar, dass es eines nachweisbaren Schadens bedarf und bloße Unannehmlichkeiten nicht ausreichen. Zugleich zeigt das Urteil die Grenzen von pauschalen Massenklagen infolge von Datenlecks auf. Damit werden Unternehmen vor einer Flut rein formaler Schadensersatzforderungen in größerem Umfang geschützt.
Marian Szidzek
Lesen Sie mehr zu den Schwerpunkten unserer Kanzlei unter www.rnsp.de