OLG Karlsruhe | ||
Urteil vom 07.11.2023 | ||
19 U 23/23 | ||
Immaterieller Schaden i.S.d. Art. 82 DS-GVO | ||
JurPC Web-Dok. 176/2023, Abs. 1 - 82 | ||
Leitsätze: | ||
1. Im Fall einer geltend gemachten Verletzung der Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh reicht bereits die Möglichkeit des Eintritts eines Schadens für die Annahme eines Feststellungsinteresses aus. 2. Das Vorliegen eines „Verstoßes gegen diese Verordnung“ im Sinne von Art. 82 Abs. 1 DS-GVO erfordert nicht mehr als die „unbefugte Offenlegung“ von oder den „unbefugten Zugang“ zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DS-GVO. 3. Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht für das Vorliegen eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DS-GVO nicht aus. 4. Stellt sich der geltend gemachte immaterielle Schaden als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte der betroffenen Person auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh dar (Sekundärschaden), ist das Beweismaß des § 287 ZPO anzuwenden. 5. Die betroffene Person muss nachweisen, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung im Sinne von Art. 82 Abs. 1 DS-GVO und dem ihr entstandenen Schaden besteht. 6. Gem. Art. 82 Abs. 3 DS-GVO reicht jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen aus, um die Anwendung der Befreiung auszuschließen. Dabei stellt indes nicht schon das Vorliegen einer Systemverletzung einen Beweis dafür dar, dass die von der verantwortlichen Person ergriffenen Maßnahmen nicht im Sinne von Art. 32 DS-GVO geeignet waren. | ||
Gründe: | ||
| I. | Abs. 1 | |
| Der Kläger nimmt die Beklagte auf Schadensersatz wegen geltend gemachter Verstöße gegen datenschutzrechtliche Vorschriften in Anspruch. | Abs. 2 | |
| Die Beklagte, ein in Frankreich ansässiges Unternehmen, vertreibt elektronische Geldbörsen für Krypto-Währungen, sogenannte Hardware-Wallets. Sie unterhält hierzu einen Onlineshop, der über die Internetseite www. zugänglich ist. Sie nutzt die E-Commerce-Plattform der S. International Limited (im Folgenden: S.), einem Unternehmen für Onlineshops, das u.a. die technische Infrastruktur zur Verfügung stellt. Die Beklagte erhebt beim Verkauf über den Shop von ihren Kunden deren Namen, E-Mail-Adresse, Telefonnummer und Postadresse. Gespeichert werden die Daten in einer Datenbank von S., wo die für den Support zuständigen Mitarbeiter auf sie zugreifen können. | Abs. 3 | |
| Die Beklagte steht in vertraglicher Beziehung zum Unternehmen I., das eine Marketingplattform anbietet, über die Unternehmen individualisierte Nachrichten per E-Mail, SMS, mobiler Push-Benachrichtigung oder In-App-Benachrichtigung an ihre Kunden senden können. I. unterhält hierzu eine Datenbank mit Kundendaten, die sich aus der Datenbank von S. speist. Der Datentransfer erfolgt mit Hilfe einer sog. API-Schnittstelle (application programming interface). Die Schnittstelle ist Teil eines Computerprogramms von I., über welches die Daten in einem standardisierten Format übergeben und abgerufen werden können. Die Konfiguration der Schnittstelle wurde im Auftrag der Beklagten von der Online-Agentur X vorgenommen, welche auf die Einrichtung und Konfiguration von S. Onlineshops spezialisiert ist. Die X wurde hierbei von der M. überwacht, einem Spezialisten für Website-Design und die Entwicklung im E-Commerce-Bereich. | Abs. 4 | |
| Der Kläger kaufte am 3. April 2020 im Onlineshop der Beklagten einen Hardware-Wallet. Im weiteren Verlauf des Jahres 2020 kam es in zwei Fällen zur Übertragung von Kundendaten der Beklagten an Unberechtigte. Im ersten Fall nutzte ein Support-Mitarbeiter von S. in der Nacht vom 17. auf den 18. April 2020 und am 18. Juni 2020 unberechtigt den für ihn bestehenden Zugang, griff auf die Datensätze von mehr als 200 S.-Großkunden - darunter die Beklagte - für eigene Zwecke zu und exportierte diese. Im zweiten Fall nutzten unbekannte Hacker eine fehlerhafte Konfiguration des API-Schlüssels in der Zeit vom 25. bis 28. Juni 2020 zu einem Angriff auf die Kundendaten der Beklagten. Die Daten wurden anschließend auf der Internetseite www.raidforums.com veröffentlicht und standen dort für jedermann zum Download zur Verfügung. Dort wurden nach den beiden Angriffen Name, Adresse, Postleitzahl, Ort, Land, Mobilnummer und die E-Mail-Adresse des Klägers veröffentlicht. | Abs. 5 | |
| Zwischen den Parteien ist insbesondere streitig, in welchem Umfang die Beklagte Schutzmaßnahmen in Bezug auf die gespeicherten Kundendaten ergriffen hat und in welchem Umfang dies erforderlich war. | Abs. 6 | |
| Das Landgericht hat die Klage abgewiesen. Es hat zur Begründung seiner Entscheidung ausgeführt, ein vertraglicher Anspruch des Klägers auf immateriellen Schadensersatz bestehe schon deshalb nicht, weil gem. § 253 Abs. 1 BGB wegen eines Schadens, der nicht Vermögensschaden sei, Entschädigung in Geld nur in den durch das Gesetz bestimmten Fällen gefordert werden könne, was beim Schadensersatzanspruch gem. § 280 Abs. 1 BGB nicht der Fall sei. Auch ein Anspruch auf materiellen und immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO bestehe nicht. Das Gericht sei nicht davon überzeugt, dass die Beklagte bei der Verarbeitung der personenbezogenen Daten des Klägers gegen Bestimmungen der Datenschutz-Grundverordnung verstoßen habe. | Abs. 7 | |
| Nehme man an, die Datenverarbeitung in einem System mit fehlerhaftem API-Schlüssel verstoße gegen Bestimmungen der Datenschutz-Grundverordnung, wäre die Beklagte jedenfalls nach Art. 82 Abs. 3 DS-GVO von der Haftung befreit, weil die Beklagte nachgewiesen habe, dass sie keinerlei Verschulden an dem schadensauslösenden Ereignis treffe. Die Beklagte habe die X, die den API-Schlüssel konfiguriert habe, nicht unsorgfältig ausgesucht, sondern sich insoweit genügend entlastet. Ein etwaiges Verschulden der X bzw. von deren Mitarbeitern sei der Beklagten nicht zuzurechnen, weil die X weder Auftragsverarbeiter noch Erfüllungsgehilfe der Beklagten sei. | Abs. 8 | |
| Der Kläger habe nicht ausreichend dargelegt, dass die Beklagte keine hinreichenden technischen und organisatorischen Maßnahmen ergriffen habe. Das Gericht sei davon überzeugt, dass sämtliche erforderlichen Sicherungsmaßnahmen eingehalten worden seien. Aus der Tatsache des Datenverlusts könne nicht auf die Verletzung von Datenschutzbestimmungen geschlossen werden. Die Beklagte habe bezüglich ihres Onlineshops und der Marketingplattform auf spezialisierte Fachfirmen vertraut und vertrauen dürfen. Die X sei ein spezialisiertes Unternehmen, das seinerseits von einem weiteren spezialisierten Unternehmen überwacht worden sei. Bei dem Diebstahl der Daten durch den S.-Mitarbeiter handele es sich um einen Exzess, für den die Beklagte haftungsrechtlich nicht verantwortlich sei. | Abs. 9 | |
| Das Gericht sei zudem nicht davon überzeugt, dass dem Kläger durch die Veröffentlichung seiner personenbezogenen Daten ein immaterieller Schaden entstanden sei. Ein Kausalitätszusammenhang zwischen der behaupteten Beeinträchtigung des Klägers in Gestalt des Erhalts von Spam- und Phishingmails sowie von Anrufen und dem Datenverlust bei der Beklagten lasse sich nicht feststellen. Derartige belästigende Nachrichten würden auch anderen Personen zugesandt, die nicht von dem Datenleak betroffen seien. Aufgrund der von der Beklagten vorgelegten Abfrage über die Internetseite haveibeenpwned stehe zur Überzeugung des Gerichts fest, dass die E-Mail-Adresse des Klägers völlig unabhängig von den Cyberangriffen bei der Beklagten für jedermann im Internet veröffentlicht worden sei. Bei den vom Kläger behaupteten Beschwerden, die er auf Spam- und Phishingmails bzw. Telefonanrufe zurückführe, handele es sich zudem um eine unangemessene Erlebnisverarbeitung, die nicht Grundlage eines Schadensersatzanspruchs sein könne. Die vom Kläger ins Feld geführte Sorge vor Straftaten stelle ein allgemeines Lebensrisiko dar. | Abs. 10 | |
| Wegen der weiteren tatsächlichen Feststellungen, des streitigen Parteivortrags, der in erster Instanz gestellten Anträge und der Entscheidungsgründe wird gemäß § 540 ZPO auf die angefochtene Entscheidung Bezug genommen. | Abs. 11 | |
| Der Kläger verfolgt mit seiner Berufung die Klageanträge in vollem Umfang weiter. Er macht geltend, das Landgericht habe verkannt, dass Art. 82 Abs. 3 DS-GVO eine Beweislastumkehr nicht nur für das Verschulden der Beklagten, sondern für den gesamten haftungsbegründenden Tatbestand enthalte. S., I. und die X seien sämtlich Auftragsverarbeiter i.S.v. Art. 28 Abs. 1 DS-GVO und gem. Art. 82 Abs. 4 DS-GVO hafte jeder an einem Verarbeitungsvorgang beteiligte Verantwortliche für den gesamten Schaden. Jeder Verantwortliche und Auftragsverarbeiter hafte für das Handeln seiner Mitarbeiter, ohne sich entlasten zu können; insbesondere gelte § 831 Abs. 1 Satz 2 BGB nicht. | Abs. 12 | |
| Ohnehin habe der Kläger die Verstöße der Beklagten gegen die Datenschutz-Grundverordnung substantiiert dargelegt und bewiesen. Es stelle einen ausreichenden Schaden dar, dass der Kläger Opfer von Phishing-E-Mails geworden sei. | Abs. 13 | |
| S. und die X seien Erfüllungsgehilfen der Beklagten, so dass auch ein vertraglicher Anspruch wegen der Verletzung einer Nebenpflicht bestehe. | Abs. 14 | |
| Der Kläger beantragt, | Abs. 15 | |
| unter Abänderung des Urteils des Landgerichts Mannheim - 9 O 344/21 | Abs. 16 | |
| 1. die Beklagte zu verurteilen, an den Kläger 8.000 EUR nebst 5 % Zinsen p.a. seit dem 29. Mai 2021 zu bezahlen; | Abs. 17 | |
| 2. festzustellen, dass die Beklagte verpflichtet ist, dem Kläger alle materiell und immateriell künftigen Schäden zu ersetzen, die dem Kläger durch die unbefugten Zugriffe Dritter auf die Kunden-Datenbank der Beklagten (i) am 17. und 18. April 2020 und am 18. Juni 2020 sowie (ii) vom 25. Juni 2020 bis 28. Juni 2020 entstanden sind; | Abs. 18 | |
| 3. die Beklagte zu verurteilen, dem Kläger die nicht anrechenbare Hälfte der Geschäftsgebühr gem. Nr. 2300 VV RVG in Höhe von 399,10 EUR sowie die Pauschale für Post- und Telekommunikationsentgelte gem. Nr. 7002 VV RVG in Höhe von 20 EUR zu erstatten. | Abs. 19 | |
| Die Beklagte beantragt, | Abs. 20 | |
| die Berufung zurückzuweisen. | Abs. 21 | |
| Sie verteidigt weitgehend die angefochtene Entscheidung und macht geltend, hinsichtlich des Feststellungsantrags sei die Klage bereits unzulässig, weil Darlegungen zu einer Wahrscheinlichkeit künftiger kausaler materieller Schäden fehlten. Der Antrag sei auch zu unbestimmt. Art. 82 Abs. 3 DS-GVO erlege der Beklagten nur die Darlegungs- und Beweislast hinsichtlich des Verschuldens auf. Aus dem vom Kläger im Berufungsverfahren als Anlage K 27 vorgelegten Gutachten gehe hervor, dass die bei S. von einem Mitarbeiter entwendeten Daten überhaupt nicht veröffentlicht worden seien. Sie könnten daher auch nicht für unerwünschte Kommunikation benutzt worden sein. | Abs. 22 | |
| Wegen der weiteren Einzelheiten des Berufungsvorbringens der Parteien wird auf die im Berufungsverfahren gewechselten Schriftsätze nebst Anlagen Bezug genommen. | Abs. 23 | |
| II. | Abs. 24 | |
| Die zulässige Berufung des Klägers ist unbegründet. | Abs. 25 | |
| 1. Die Klage ist hinsichtlich des Feststellungsantrags zu 2 bereits unzulässig, soweit die Feststellung der Pflicht zum Ersatz materieller Schäden betroffen ist. | Abs. 26 | |
| a) Entgegen der Auffassung der Beklagten ist die Zulässigkeit der Feststellungsklage nur bei reinen Vermögensschäden von der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts abhängig. Geht es jedoch nicht um reine Vermögensschäden, sondern um Schäden, die aus der behaupteten Verletzung eines gem. § 823 Abs. 1 BGB absolut geschützten Rechtsguts resultieren, reicht bereits die Möglichkeit des Eintritts eines Schadens für die Annahme eines Feststellungsinteresses aus (vgl. BGH, Urteil vom 29. Juni 2021 - VI ZR 52/18, juris Rn. 30 m.w.N.). Dieser Grundsatz ist schon unter dem Gesichtspunkt von Äquivalenz und Effektivität (vgl. dazu nur EuGH, Urteil vom 4. Mai 2023 - C-300/21 Rn. 53 f.) auf den vorliegenden Fall einer geltend gemachten Verletzung der Grundrechte auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh (zur Maßgeblichkeit der Charta der Grundrechte der Europäischen Union im Bereich des unionsweit abschließend vereinheitlichten Datenschutzrechts vgl. BVerfGE 152, 152 Rn. 42 ff. - Recht auf Vergessen II) zu erstrecken (so auch OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 209). | Abs. 27 | |
| Ein Feststellungsinteresse ist also nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines derartigen Schadens wenigstens zu rechnen (vgl. BGH, Urteil vom 5. Oktober 2021 - VI ZR 136/20, juris Rn. 28 m.w.N.). Damit steht das deutsche Zivilprozessrecht mit den europäischen Vorgaben in Einklang, denn der wirksame Schutz des Rechts auf Ersatz der Schäden, die dem Einzelnen durch Verstöße gegen das Unionsrecht entstehen, muss (nur) eine Haftungsklage ermöglichen, die auf unmittelbar bevorstehende und mit hinreichender Sicherheit vorhersehbare Schäden gestützt ist, auch wenn der Schaden noch nicht genau beziffert werden kann (vgl. EuGH, Urteil vom 25. März 2021 - C-501/18, juris Rn. 126). | Abs. 28 | |
| b) Gemessen daran ist hier die Möglichkeit eines Schadenseintritts durch den Kläger nicht hinreichend dargelegt. | Abs. 29 | |
| Der Kläger meint, die Möglichkeit eines Schadenseintritts ergebe sich aus drohenden Identitätsdiebstählen, Zugriffsversuchen auf von ihm genutzte Online-Dienste oder sonstige Betrugs- und Erpressungsversuche. | Abs. 30 | |
| c) Dieser Vortrag genügt ersichtlich nicht. | Abs. 31 | |
| Mangels jedweder konkreter Anhaltspunkte dafür, dass dem Kläger bis zum Zeitpunkt der Klageerhebung - auf den es für das Vorliegen des Feststellungsinteresses ankommt - aufgrund der „unbefugten Zugriffe Dritter auf die Kunden-Datenbank der Beklagten“, die über ein Jahr vor Klageerhebung stattgefunden haben, ein kausaler materieller Schaden entstanden ist, wie auch im Hinblick auf den Umstand, dass der Kläger im Rahmen seiner persönlichen Anhörungen sowohl vor dem Landgericht als auch vor dem Senat selbst angegeben hat, ihm sei kein materieller Schaden entstanden (…), ist bei verständiger Würdigung mit dem Eintritt eines materiellen Schadens nicht zu rechnen. Ein solcher Schaden in der vom Kläger beschriebenen Art und Weise ist rein theoretischer Natur und begründet kein Feststellungsinteresse. | Abs. 32 | |
| Hinzu kommt, dass der Kläger um die Veröffentlichung seiner Mobiltelefonnummer und E-Mail-Adresse weiß, daher gewarnt ist und Anlass hat, besonders vorsichtig zu sein, was er wiederum seinen eigenen Angaben im Rahmen der informatorischen Anhörung zufolge auch ist. | Abs. 33 | |
| 2. Der Kläger hat gegen die Beklagte keinen Anspruch auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO. | Abs. 34 | |
| Voraussetzung für das Bestehen eines derartigen Schadensersatzanspruchs gem. Art. 82 Abs. 1 DS-GVO ist, dass ein Verstoß gegen die Datenschutz-Grundverordnung kausal einen immateriellen Schaden herbeigeführt hat (vgl. EuGH, Urteil vom 4. Mai 2023 – C 300/21 Rn. 32). | Abs. 35 | |
| a) Der zeitliche, sachliche und räumliche Anwendungsbereich der Datenschutz-Grundverordnung ist eröffnet. | Abs. 36 | |
| b) Ein Verstoß gegen diese Verordnung im Sinne von Art. 82 Abs. 1 DS-GVO liegt in zweierlei Hinsicht vor: einmal nutzte unstreitig ein Support-Mitarbeiter von S. unberechtigt den für ihn bestehenden Zugang, um auf die Datensätze u.a. der Beklagten für eigene Zwecke zuzugreifen und diese zu exportieren. Zudem nutzten unbekannte Hacker eine fehlerhafte Konfiguration des API-Schlüssels in der Zeit vom 25. bis 28. Juni 2020 zu einem Angriff auf die Kundendaten der Beklagten. Mehr als die „unbefugte Offenlegung“ von oder der „unbefugte Zugang“ zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DS-GVO erfordert das Vorliegen eines „Verstoßes gegen diese Verordnung“ nicht (vgl. Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 58 ff.). | Abs. 37 | |
| c) Der Kläger hat keinen Anspruch auf Ersatz eines immateriellen Schadens, weil der Senat das Vorliegen eines solchen nicht für überwiegend wahrscheinlich hält. | Abs. 38 | |
| Abs. 39 | ||
| aa) Für einen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO wegen eines immateriellen Schadens reicht das bloße Vorliegen eines Verstoßes gegen die Bestimmungen der Verordnung nicht aus, sondern der betroffenen Person muss tatsächlich ein Schaden entstanden sein (vgl. EuGH, Urteil vom 4. Mai 2023 - C-300/21, Rn. 36, 42). Ein bestimmter Grad an Erheblichkeit muss dabei nicht erreicht werden, doch muss die betroffene Person nachweisen, dass sie negative Folgen erlitten hat und dass diese Folgen einen immateriellen Schaden im Sinne der Datenschutz-Grundverordnung darstellen (vgl. EuGH, Urteil vom 4. Mai 2023 - C-300/21, Rn. 50). Die Tatsache, dass der Missbrauch personenbezogener Daten nur möglich und nicht bereits eingetreten ist, reicht aus, um davon auszugehen, dass die betroffene Person einen durch den Verstoß gegen die Verordnung verursachten immateriellen Schaden erlitten haben kann, sofern die betroffene Person nachweist, dass die Befürchtung eines solchen Missbrauchs ihr tatsächlich und konkret einen realen und sicheren emotionalen Schaden zugefügt hat (Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 82). Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus (Schlussanträge des Generalanwalts Collins vom 26. Oktober 2023 - C-182/22, Rn. 24). | Abs. 40 | |
| bb) Ob der Kläger einen derartigen realen und sicheren emotionalen Schaden erlitten hat, ist am Beweismaß des § 287 ZPO zu messen. § 287 ZPO ist insoweit anzuwenden, weil sich der geltend gemachte immaterielle Schaden als Folge der Rechtsgutsverletzung in Gestalt der Verletzung der Grundrechte des Klägers auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh und auf Schutz personenbezogener Daten aus Art. 8 GRCh darstellt (i.E. ebenso LG Ellwangen, Urteil vom 25.01.2023 - 2 O 198/22 GRUR-RS 2023, 1146 Rn. 85; LG Memmingen, Endurteil vom 09.03.2023 - 35 O 1036/22 GRUR-RS 2023, 3856 Rn. 81; LG Dortmund, Urteil vom 22.05.2023 - 24 O 20/23 GRUR-RS 2023, 14600 Rn. 68; LG Essen, Urteil vom 10.11.2022 - 6 O 111/22 GRUR-RS 2022, 34818 Rn. 72; LG Krefeld, Urteil vom 22.02.2023 - 7 O 113/22 GRUR-RS 2023, 2539 Rn. 37; LG Memmingen, Endurteil vom 16.02.2023 - 24 O 913/22 GRUR-RS 2023, 4562 Rn. 84; a.A. (nicht tragend) unter Annahme der Geltendmachung eines Primärschadens OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 178 ff.). | Abs. 41 | |
| Nach der ständigen Rechtsprechung des Gerichtshofs ist es mangels einschlägiger unionsrechtlicher Vorschriften nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die Verfahrensmodalitäten für Klagen, die den Schutz der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen, zu regeln, wobei die betreffenden Anforderungen jedoch nicht ungünstiger sein dürfen als diejenigen, die gleichartige, dem innerstaatlichen Recht unterliegende Sachverhalte regeln (Äquivalenzgrundsatz), und die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren dürfen (Effektivitätsgrundsatz) (EuGH C-278/22 BeckRS 2022, 6955 Rn. 47 EuGH C-791/20 NJW 2021, 531 Rn. 223; BAG, Urteil vom 5. Mai 2022 - 2 AZR 363/21 Rn. 13). Dem ist durch die Anwendung des § 287 ZPO Rechnung getragen. | Abs. 42 | |
| cc) Aufgrund der durchgeführten Anhörung des Klägers hält der Senat es nicht für überwiegend wahrscheinlich (§ 287 ZPO), dass der Kläger einen immateriellen Schaden erlitten hat. | Abs. 43 | |
| Der Kläger hat im Rahmen seiner informatorischen Anhörung angegeben, ihm sei „mulmig“ geworden, als er von dem Datenleck erfahren habe, weil ihm bewusst sei, dass Datenschutzverstöße erhebliche Schäden verursachen könnten. Er müsse, wenn er Phishing-E-Mails bekomme, immer aufpassen, keinen Fehler zu machen. Aus diesen Angaben geht ein realer und sicherer emotionaler Schaden nicht hervor, sondern lediglich ein gewisses Unbehagen des Klägers und die empfundene Notwendigkeit zu erhöhter Aufmerksamkeit im Umgang mit Phishing-E-Mails. Eine derartige bloße Beunruhigung stellt keinen immateriellen Schaden im Sinne des Art. 82 DS-GVO dar. | Abs. 44 | |
| Gegen das Vorliegen eines realen und sicheren emotionalen Schadens spricht zudem der Umstand, dass der Kläger nach Bekanntwerden der Veröffentlichung seiner Daten weder seine E-Mail-Adresse noch seine Mobilnummer geändert hat. Beides ist zwar mit ggf. durchaus erheblichem Aufwand verbunden insbesondere im Hinblick darauf, regelmäßige Kommunikations- bzw. Vertragspartner über die Änderungen zu informieren. Im Fall des Vorliegens eines realen und sicheren emotionalen Schadens wäre dies im Hinblick auf die geltend gemachten Risiken in Gestalt von Betrugs- und Erpressungsversuchen indes eine naheliegende und wirkungsvolle Abwehrmaßnahme. Dass der Kläger wegen des hiermit verbundenen Aufwands von einer Änderung der E-Mail-Adresse und/oder Mobilnummer abgesehen hat, spricht dafür, dass ihn die geltend gemachten Risiken gerade nicht in einer Art und Weise beeinträchtigen, die mehr als eine bloße Beunruhigung darstellt. | Abs. 45 | |
| Schließlich begründet auch der vom Kläger angeführte Kontrollverlust über seine Daten nicht schon für sich genommen einen immateriellen Schaden. Insbesondere stellt der Besitz von Daten, die die betroffene Person identifizierbar machen, für sich genommen keinen Identitätsdiebstahl dar (Schlussanträge des Generalanwalts Collins vom 26. Oktober 2023 - C-182/22, Rn. 30, 32), der in den Erwägungsgründen 75 und 85 beispielhaft als mögliche Erscheinungsform eines physischen, materiellen oder immateriellen Schadens angeführt ist. | Abs. 46 | |
| d) Selbst dann, wenn man das Vorliegen eines immateriellen Schadens zugunsten des Klägers unterstellt, hält der Senat es nicht für überwiegend wahrscheinlich (§ 287 ZPO), dass ein derartiger Schaden auf die Verletzung der Grundrechte des Klägers gem. Art. 7, Art. 8 GRCh zurückzuführen ist, also die haftungsausfüllende Kausalität gegeben ist (insoweit ebenfalls § 287 ZPO anwendend LG Saarbrücken, Urteil vom 20.06.2023 - 4 O 168/22, GRUR-RS 2023, 14642 Rn. 90). | Abs. 47 | |
| Ob eine unterstellte unzureichende Sicherung der Daten, die nicht den Anforderungen der Art. 24 Abs. 1, Art. 32 Abs. 1 DS-GVO entsprochen hat, den von Dritten rechtswidrig erlangten Zugang zu den Daten des Klägers, hierauf beruhende Phishing-Anrufe und Phishing-E-Mails und damit auch den vom Kläger geltend gemachten Schaden kausal herbeigeführt hat, ist zwischen den Parteien streitig. Die Darlegungs- und Beweislast für diese haftungsausfüllende Kausalität liegt beim Kläger. | Abs. 48 | |
| aa) Die Datenschutz-Grundverordnung enthält hinsichtlich der Beweislast für die Kausalität keine ausdrückliche Regelung. Ob insoweit nationales Prozessrecht Anwendung findet oder ob im Hinblick auf Erwägungsgrund 146, wonach die betroffenen Personen einen „vollständigen und wirksamen Schadensersatz“ erhalten sollten bzw. im Hinblick auf den Effektivitätsgrundsatz im Allgemeinen die Darlegungs- und Beweislast für die fehlende Kausalität die verantwortliche Person trifft, ist in Rechtsprechung und Literatur umstritten. | Abs. 49 | |
| (1) Überwiegend wird unter Anwendung des jeweiligen nationalen Beweisrechts die Person, die den Schadensersatzanspruch geltend macht, hinsichtlich der Kausalität des „Verstoßes gegen diese Verordnung“ im Sinne von Art. 82 Abs. 1 DS-GVO für den geltend gemachten Schaden als darlegungs- und beweisbelastet angesehen (ÖOGH, ZD 2020, 302 Rn. 15; OLG Innsbruck, ZD 2020, 304 Rn. 4; LG Frankfurt a.M. ZD 2021, 653, 654, juris Rn. 32 ff.; LG Frankfurt a.M., Urteil vom 18. September 2020 - 2-27 O 100/20, juris Rn. 48 (insoweit in ZD 2020, 639 nicht abgedruckt); LG Karlsruhe, ZD 2019, 511, 512, juris Rn. 15; Spindler/Horváth in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl., Art. 82 DS-GVO Rn. 11; Weber, CR 2021, 379, 380; Piltz/Zwerschke, GRUR-Prax 2021, 11, 13). | Abs. 50 | |
| Die Informationsmöglichkeiten des Betroffenen sowie die Grundsätze der sekundären Darlegungslast des nationalen Prozessrechts werden als den Schwierigkeiten, die mit dem mangelnden Einblick des Anspruchsstellers in die die Daten betreffenden Verarbeitungsabläufe bei der Darlegung und Beweisführung einhergehen, ausreichend entgegensteuernd angesehen. | Abs. 51 | |
| (2) Demgegenüber wird vertreten, den Verantwortlichen treffe die Darlegungs- und Beweislast für das Fehlen einer derartigen Kausalität (Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl., Teil 8 Rn. 23; Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl., Art. 82 DSGVO Rn. 47; für eine nicht näher erläuterte „Beweiserleichterung“ AG Frankfurt a. M., BeckRS 2020, 22861, Rn. 32). Zur Begründung wird auf Erwägungsgrund 146 der DS-GVO abgestellt, wonach der Betroffene einen „vollständigen und wirksamen Schadensersatz“ fordern können solle (Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl., Teil 8 Rn. 23; Paal, MMR 2020, 14, 17). Angeführt wird zudem die allgemeine Beweisnot des hinsichtlich der Datenverarbeitungsabläufe außenstehenden Anspruchsstellers (Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl., Teil 8 Rn. 23; Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl., Art. 82 DS-GVO Rn. 47). | Abs. 52 | |
| Teilweise wird die Beweislast auf Grundlage einer Übertragung der Rechtsprechung des Gerichtshofs der Europäischen Union zum „umbrella pricing“ aus dem Kartellschadensersatzrecht bei der verantwortlichen Person gesehen (Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl., Art. 82 DS-GVO Rn. 47) bzw. der Anspruchssteller wird als darlegungs- und beweisbelastet nur für eine grundsätzliche Eignung der Datenverarbeitung zur Auslösung des entstandenen Schadens angesehen (Geissler/Strobel, NJW 2019, 3414, 3415; Neun/Lubitzsch, BB 2017, 2563, 2568; Paal, MMR 2020, 14, 17). Für einen Rückgriff auf die Rechtsprechung zum Kartellschadensersatz spreche Erwägungsgrund 146 Satz 3 der DS-GVO, der nicht nur für den dort ausdrücklich angeführten Begriff des Schadens heranzuziehen sei, sondern auch für die Frage der Kausalität (Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl., Art. 82 DS-GVO Rn. 41; Paal, MMR 2020, 14, 17). | Abs. 53 | |
| bb) Der Senat folgt der Auffassung des Generalanwalts Pitruzzella in seinen Schlussanträgen vom 27. April 2023 (C-340/21), wonach die betroffene Person nachweisen muss, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung und dem ihr entstandenen Schaden besteht (a.a.O. Rn. 50, vgl. auch Schlussanträge des Generalanwalts Collins vom 26. Oktober 2023 - C-182/22, Rn. 24, 32). Es handelt sich dabei um eine der Voraussetzungen, die sich auch aus der ständigen Rechtsprechung des Gerichtshofs und des Gerichts zur außervertraglichen Haftung der Union ergeben (EuGH, Urteile vom 5. September 2019 C-447/17 P, Rn. 147 und vom 28. Oktober 2021 - C-650/19 P, Rn. 138). Insbesondere aus der Entscheidung des EuG vom 13. Januar 2021 (T548/18, Rn. 118 ff.) geht hervor, dass die Darlegungs- und Beweislast für das Vorliegen dieser Voraussetzungen beim Anspruchssteller zu sehen ist. | Abs. 54 | |
| cc) Bei der Würdigung ist lediglich die vom Kläger in erster Instanz aufgestellte Behauptung zu berücksichtigen, er erhalte seit der Veröffentlichung der Daten im Internet täglich Unmengen an Phishing-E-Mails, die in inhaltlichem Zusammenhang mit Kryptowährungen stünden, nicht jedoch seine erstmals im Berufungsverfahren aufgestellte Behauptung, er erhalte Phishing-E-Mails, die so gestaltet seien, als wäre die Beklagte deren Absenderin. | Abs. 55 | |
| Bei dieser von der Beklagten bestrittenen Behauptung handelt es sich nicht lediglich um eine Vertiefung des zuvor gehaltenen Vortrags zum allgemeinen Erhalt von Phishing-E-Mails, deren Versand durch die Veröffentlichung der E-Mail-Adresse des Klägers ermöglicht worden sei, sondern um eine neue Behauptung. Die Voraussetzungen für eine erstmalige Zulassung dieses Angriffsmittels im Berufungsverfahren gem. § 531 Abs. 2 ZPO sind vom Kläger weder vorgetragen noch sonst ersichtlich. Aus demselben Grund war auch der erstmals in der mündlichen Berufungsverhandlung angebotene Beweis, das Mobiltelefon des Klägers in Augenschein zu nehmen, nicht zu erheben. | Abs. 56 | |
| Die vom Kläger im Berufungsverfahren nach Schluss der mündlichen Verhandlung ausgedruckt vorgelegten E-Mails (Anlage K 33) waren schon gem. § 296a ZPO nicht zu berücksichtigen. Anlass für eine Wiedereröffnung der mündlichen Verhandlung bestand insoweit bereits deshalb nicht, weil auch für diese neuen Beweismittel die Voraussetzungen für ihre Zulassung gem. § 531 Abs. 2 ZPO nicht vorlägen. | Abs. 57 | |
| Hinsichtlich all dieser Angriffsmittel ist insbesondere nicht ersichtlich, dass sie im ersten Rechtszug nicht geltend gemacht worden sind, ohne dass dies auf einer Nachlässigkeit des Klägers beruht (§ 531 Abs. 2 Nr. 3 ZPO), nachdem der Kläger behauptet, schon seit Jahren derartige E-Mails zu erhalten. | Abs. 58 | |
| dd) Dass der Kläger überhaupt Phishing-Mails erhält, steht zwischen den Parteien nicht im Streit. Dass diese Phishing-Mails auf die beiden Zugriffe auf die Kundendaten der Beklagten im April und Juni 2020 zurückzuführen sind, hält der Senat indes nicht für überwiegend wahrscheinlich. Einerseits hat die Beklagte unbestritten vorgetragen, dass die E-Mail-Adresse des Klägers bereits vor den streitgegenständlichen Vorfällen Gegenstand anderer Datenlecks war, so dass der Erhalt unerwünschter E-Mails ebenso hierauf zurückzuführen sein mag - wobei jedenfalls eine der betroffenen Quellen - „H.“ - ebenfalls im Zusammenhang mit Kryptowährungen steht. Soweit der rechtswidrige Zugriff des Mitarbeiters von S. betroffen ist, ergibt sich zudem aus dem vom Kläger selbst vorgelegten Gutachten (Anlage K 27, dort Seite 7 Abs. 2 aE), dessen Inhalt die Beklagte sich insoweit zu Eigen gemacht hat, dass diese Daten überhaupt nicht veröffentlicht worden sein sollen. | Abs. 59 | |
| Was die geltend gemachten Spam- bzw. Phishing-Anrufe angeht, so hat die Beklagte bestritten, dass der Kläger derartige Anrufe überhaupt erhält. Der vom Kläger zum Beweis vorgelegte ausgedruckte Screenshot einer „Blockliste“ (Anlage zum Protokoll vom 20. Januar 2023) einiger deutscher sowie österreichischer Mobil- und Festnetznummern ist schon nicht geeignet zu beweisen, dass der Kläger überhaupt Anrufe von diesen Nummern erhalten hat und dass es sich dabei um Spam- bzw. Phishing-Anrufe handelte. Auch wenn man zugunsten des Klägers unterstellt, dass er tatsächlich überhaupt derartige Anrufe erhalten hat, ist dies nicht mit überwiegender Wahrscheinlichkeit auf die Zugriffe auf die Kundendaten der Beklagten zurückzuführen. In der Anhörung vor dem Senat hat der Kläger zwar angegeben, vor der Mitteilung der Beklagten über das Datenleck habe es solche Anrufe nicht gegeben (…). In der Anhörung vor dem Landgericht hat er allerdings insoweit mitgeteilt, derartige Anrufe hätten seit dem Vorfall lediglich „extrem zugenommen“ (..). Der Senat hält es unter Berücksichtigung dessen letztlich für vollkommen offen, aus welcher Quelle die - unterstellten - Anrufer die Mobilnummer des Klägers haben. | Abs. 60 | |
| e) Die Beklagte ist zudem gem. Art. 82 Abs. 3 DS-GVO von der Haftung befreit. | Abs. 61 | |
| aa) Art. 82 Abs. 3 der DSGVO befreit den Verantwortlichen von der Haftung, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Eine wörtliche Auslegung dieser Bestimmung läuft darauf hinaus, dass jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen ausreicht, um die Anwendung der Befreiung auszuschließen (vgl. Schlussanträge des Generalanwalts Collins vom 26. Oktober 2023 - C-182/22 Rn. 25; zum Verschuldenserfordernis siehe auch die Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 62 f.). Dabei kann die verantwortliche Person von ihrer Haftung nicht allein deshalb befreit werden, weil der Umstand, auf den der Verstoß zurückzuführen ist, von einer Person außerhalb ihres Kontrollbereichs herbeigeführt wurde (Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 65). Andererseits stellt nicht schon das Vorliegen einer Systemverletzung einen Beweis dafür dar, dass die von der verantwortlichen Person ergriffenen Maßnahmen nicht im Sinne von Art. 32 DS-GVO geeignet waren (a.a.O. Rn. 37). | Abs. 62 | |
| bb) Die erfolgte Verletzung des Schutzes der personenbezogenen Daten des Klägers ist keine Folge eines Versäumnisses der Beklagten, angemessene und in jedem Fall geeignete technische und organisatorische Maßnahmen zu ihrer Verhinderung zu ergreifen, die insbesondere Art. 24 und 32 DS-GVO verlangen. | Abs. 63 | |
| Ob es sich bei der X um einen Auftragsverarbeiter im Sinne von Art. 28 DS-GVO handelt, ist dabei im Hinblick darauf ohne Belang, dass die Beklagte, wie vorstehend ausgeführt, auch für das Verhalten von anderen Dritten verantwortlich sein kann. § 278 BGB ist unter Berücksichtigung des Umstands nicht anwendbar, dass der Begriff der Verantwortlichkeit in Art. 82 DS-GVO - ebenso wie dessen übrige Tatbestandsmerkmale - autonom auszulegen ist, um die einheitliche Anwendung in allen Mitgliedstaaten zu sichern (vgl. ÖOGH, Beschluss vom 15. April 2021 - 6 Ob 35/21x, BeckRS 2021, 11950 Rn. 13). | Abs. 64 | |
| (1) Hinsichtlich des rechtswidrig handelnden Mitarbeiters von S. hat die Beklagte - vom Kläger unbestritten - vorgetragen, dessen Zugriffsmöglichkeit auf die Kundendaten sei erforderlich gewesen, um seine Tätigkeit im Kundensupport durchführen zu können. Ebenso unbestritten hat die Beklagte vorgetragen, S. überprüfe die Mitarbeiter des Kundensupports im Hinblick auf ihre Identität, frühere Tätigkeiten, ihre Ausbildung und Einträge im Strafregister. Unstreitig ist schließlich auch, dass S. sich gegenüber der Beklagten vertraglich zur Einhaltung der Datenschutz-Grundverordnung verpflichtet hat. | Abs. 65 | |
| Auf dieser Grundlage trifft die Beklagte insoweit keine Verantwortlichkeit, insbesondere kein fahrlässiges (Mit-)Verschulden. Sie durfte sich zum Betrieb ihres Online-Shops der Software einschließlich eines Support-Angebots eines Dienstleisters bedienen. Als Vertragspartner hat sie mit S. den Markführer für Online-Shop-Systeme gewählt, der sich ihr gegenüber vertraglich verpflichtet hat, die Anforderungen der Datenschutz-Grundverordnung einzuhalten. Die von S. durchgeführten Maßnahmen der Überprüfung von Mitarbeitern erscheinen - insbesondere im Hinblick auf Einträge im Strafregister - als angemessen und ausreichend. Ebensowenig, wie es einem Verantwortlichen möglich ist, jede Verletzung personenbezogener Daten durch Cyberkriminelle zu verhindern, deren ausgeklügelte Instrumente selbst modernste Sicherheitsmaßnahmen aushebeln können (vgl. Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 33), ist es einem Arbeitgeber möglich, vollkommen auszuschließen, dass sich ein Mitarbeiter mit rechtswidrigen Absichten in sein Unternehmen einschleust oder ein Mitarbeiter im Laufe seiner Tätigkeit rechtswidrige Absichten entwickelt. Dabei ist auch zu berücksichtigen, dass allgemein bekannt ist, dass externe Angriffe auf die Systeme öffentlicher oder privater Einrichtungen, die über eine große Menge personenbezogener Daten verfügen, weitaus häufiger sind als interne Angriffe, und deshalb der Verantwortliche gehalten ist, sich insbesondere gegen Angriffe von außen zu wappnen (vgl. Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 67). | Abs. 66 | |
| Soweit der Kläger es für erforderlich hält, jeden einzelnen Zugriff auf personenbezogene Daten einem „Vieraugenprinzip“ zu unterwerfen, ist dem nicht zuzustimmen. Gem. Art. 32 Abs. 1 Satz 1 DS-GVO sind bei der Bestimmung der technischen und organisatorischen Maßnahmen, die der Verantwortliche zu treffen hat, auch die Implementierungskosten zu berücksichtigen. Die dauerhafte Durchführung eines „Vieraugenprinzips“ bei Mitarbeitern des Kunden-Supports - die im Rahmen ihrer Tätigkeit ständig Zugriff auf Kundendaten nehmen - führte im Ergebnis dazu, dass für die Arbeit, die von einem Mitarbeiter erledigt werden könnte, nahezu zwei Mitarbeiter erforderlich wären. Auch im Hinblick darauf, dass - wie vorstehend ausgeführt - die meisten Angriffe von außen ausgehen, erschiene ein derartiger Aufwand als unverhältnismäßig. Die Abwägung zwischen den Interessen der betroffenen Person, die generell ein höheres Schutzniveau anstreben, und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen, die zuweilen ein niedrigeres Schutzniveau anstreben (vgl. Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 36), geht hinsichtlich dieser Frage daher zugunsten der Interessen des Verantwortlichen aus. | Abs. 67 | |
| (2) Der falsch konfigurierte API-Schlüssel, der den Zugriff auf Kundendaten der Beklagten ermöglichte, wurde nicht von dieser selbst, sondern von der X erstellt, die auf die Einrichtung und Konfiguration von S.-Online-Shops spezialisiert ist und von S. als sog. „Plus-Partner“ empfohlen wird. Dem unstreitigen Tatbestand des angefochtenen Urteils zufolge wurde die X bei der Konfiguration der Schnittstelle von der M. überwacht, einer Spezialistin für Website Design und die Entwicklung im E-Commerce-Bereich, die ihrerseits „Plus-Partner“ von S. ist. Soweit der Kläger im Berufungsverfahren bestreitet, dass die M. die X überwacht hat, steht dem die Tatbestandswirkung des angefochtenen Urteils entgegen (§ 314 ZPO). Der Senat hat daher davon auszugehen, dass die Überwachungstätigkeit der M. in erster Instanz vom Kläger nicht bestritten worden ist. Die Unrichtigkeit des Tatbestands kann grundsätzlich nur im Berichtigungsverfahren nach § 320 ZPO geltend gemacht werden (BGH, Urteil vom 24. März 2016 - I ZR 185/14, juris Rn. 20 m.w.N.). Ein solches Verfahren ist nicht durchgeführt worden. Das neue, hiervon abweichende Tatsachenvorbringen des Klägers ist gleichwohl zu berücksichtigen und zu prüfen (vgl. BGH a.a.O. Rn. 22 m.w.N.). Die Voraussetzungen für eine erstmalige Zulassung des Bestreitens im Berufungsverfahren gem. § 531 Abs. 2 ZPO liegen nicht vor. Die Tatsachen, aufgrund derer das neue Verteidigungsmittel zuzulassen sein solle, hat der Kläger entgegen § 520 Abs. 3 Nr. 4 ZPO in der Berufungsbegründung schon nicht bezeichnet, sie sind auch sonst nicht ersichtlich. Die Beklagte führt darüber hinaus eigene Sicherheitsmaßnahmen durch, um Hackerangriffen vorzubeugen. Dazu gehören - vom Kläger zunächst bestritten - Penetrationstests (die Prüfung der Sicherheit von Systembestandteilen mit Mitteln und Methoden, die ein Hacker anwenden würde, um unautorisiert in das System einzudringen) und - unstreitig - ein Bug Bounty Program (wohlgesinnte Hacker versuchen in guter Absicht, Sicherheitslücken zu finden). Letzteres hält der Kläger für nicht effektiv und ungeeignet, um Sicherheitslücken aufzudecken. Die Durchführung einer Prüfmaßnahme durch die S2 SAS im Zeitraum vom 19. bis zum 27. November 2018 hat der Kläger zuletzt unstreitig gestellt, wobei er meint, es handele sich hierbei nicht um einen Penetrationstest, sondern lediglich um einen Schwachstellen-Scan, weil keine manuellen Angriffsversuche durchgeführt worden seien. | Abs. 68 | |
| Auf dieser Grundlage trifft die Beklagte auch hinsichtlich der durch einen falsch konfigurierten API-Schlüssel eröffneten Zugriffsmöglichkeit auf Kundendaten keine Verantwortlichkeit, insbesondere kein fahrlässiges (Mit-)Verschulden. Sie durfte sich auch in Bezug auf die Anbindung der I.-Marketingplattform eines Dienstleisters bedienen und ist hierzu einer ausdrücklich ausgesprochenen Empfehlung ihres Vertragspartners S. gefolgt. Die Konfiguration der API-Schnittstelle wurde dabei nicht dem Vertragspartner X allein überlassen, sondern unterlag der Kontrolle durch die M., einem hierfür spezialisierten Unternehmen. Auch der laufende Betrieb des Online-Shops wurde auf Schwachstellen kontrolliert, so dass offenbleiben kann, ob dies angesichts der geringen Sensitivität der gespeicherten Kundendaten - bei Name, E-Mail-Adresse, Telefon-Nummer und Postadresse handelt es sich lediglich um allgemeine Kontaktdaten (vgl. hierzu LG Bonn, Urteil vom 11. November 2020 - 29 OWi 1/20, juris Rn. 70), die insbesondere nicht zu den gem. Art. 9, Art. 10 DS-GVO besonders geschützten Kategorien personenbezogener Daten gehören - überhaupt von der Beklagten zu fordern war. | Abs. 69 | |
| Aus der Anlage „S2 Penetrationstest vom 27. November 2018“ geht hervor, dass die Beklagte die S2 SAS mit der Durchführung von Penetrationstests beauftragt hat. Auch nach dem Verständnis des Klägers handelt es sich bei dem durchgeführten Test jedenfalls um einen Schwachstellentest. Nicht entscheidungserheblich sind dabei die vom Kläger für eine Qualifikation als Penetrationstest für erforderlich gehaltenen manuellen Angriffsversuche. Nachdem es keine gesetzliche Definition für den Umfang eines Penetrationstests gibt, hatte die Beklagte schon keine Möglichkeit, die einzelnen, von der S2 SAS durchgeführten Maßnahmen mit einer verbindlichen Vorlage abzugleichen. Mit der Beauftragung eines hierfür spezialisierten Unternehmens hatte sie getan, was ggf. - die Erforderlichkeit laufender Sicherheitsmaßnahmen unterstellt - von ihr zu verlangen war. Soweit der Kläger das zusätzlich von der Beklagten durchgeführte Bug Bounty Program für ungeeignet hält, kommt es hierauf schon wegen der Beauftragung der S2 SAS mit der vorstehend beschriebenen Maßnahme nicht an. | Abs. 70 | |
| 3. Der Kläger hat auch keinen Anspruch auf Feststellung, dass die Beklagte ihm zukünftige immaterielle Schäden zu ersetzen hat. Zur Begründung wird auf die vorstehenden Ausführungen unter 2. Bezug genommen. | Abs. 71 | |
| 4. Die vom Kläger geltend gemachten Ansprüche bestehen auch nicht auf der Grundlage nationalen Rechts. | Abs. 72 | |
| a) Derartige Ansprüche sind nicht deshalb ausgeschlossen, weil vorliegend der Anwendungsbereich der Datenschutz-Grundverordnung eröffnet ist. Nach dem vierten Satz des 146. Erwägungsgrundes der Datenschutz-Grundverordnung gelten deren Vorschriften unbeschadet von Schadensersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten (vgl. auch EuGH, Urteil vom 04.05.2023 - C-300/21 Rn. 41). | Abs. 73 | |
| b) Ein Anspruch gem. § 280 Abs. 1 BGB auf Ersatz eines immateriellen Schadens wegen der Verletzung einer vertraglichen Nebenpflicht besteht nicht. Wegen eines Schadens, der nicht Vermögensschaden ist, kann gem. § 253 Abs. 1 BGB Entschädigung in Geld nur in den durch das Gesetz bestimmten Fällen gefordert werden. Eine derartige gesetzliche Bestimmung existiert für die vorliegende Konstellation nicht. | Abs. 74 | |
| Hinzu kommt, dass schon keine vertragliche Nebenpflichtverletzung vorliegt. Die Beklagte hat es, wie vorstehend ausgeführt, nicht versäumt, angemessene und geeignete technische und organisatorische Maßnahmen im Sinne von Art. 24 und 32 DS-GVO zu ergreifen. | Abs. 75 | |
| Weitergehende Pflichten treffen sie auch nach § 241 Abs. 2 BGB nicht. | Abs. 76 | |
| c) Auch ein Anspruch des Klägers auf Geldentschädigung wegen der Verletzung seines allgemeinen Persönlichkeitsrechts gem. § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG - soweit man hier zugunsten des Klägers dessen allgemeines Persönlichkeitsrecht und nicht seine Grundrechte gem. Art. 7, Art. 8 GRCh (zur Maßgeblichkeit der Charta der Grundrechte der Europäischen Union im Bereich des unionsweit abschließend vereinheitlichten Datenschutzrechts vgl. BVerfGE 152, 152 Rn. 42 ff. - Recht auf Vergessen II) als betroffen unterstellt - besteht nicht. | Abs. 77 | |
| Nach ständiger höchstrichterlicher Rechtsprechung begründet die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann (vgl. BGH, Urteil vom 22. Februar 2022 - VI ZR 1175/20, juris Rn. 44). Im Streitfall hat die Beklagte bereits nicht schuldhaft das allgemeine Persönlichkeitsrecht des Beklagten verletzt, nachdem sie es nicht versäumt hat, angemessene und geeignete technische und organisatorische Maßnahmen im Sinne von Art. 24 und 32 DS-GVO zu ergreifen. Selbst bei unterstellter fahrlässig verursachter Verletzung wäre zudem der Eingriff nicht als so schwerwiegend anzusehen, dass die Zahlung einer Geldentschädigung als erforderlich erschiene. | Abs. 78 | |
| 5. Der Kläger hat keinen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten. Die Klage ist insoweit schon unschlüssig, da jeder tatsächliche Vortrag zur vorgerichtlichen Tätigkeit fehlt, deren Kosten erstattet werden sollen. Ein Hinweis hierauf war gem. § 139 Abs. 2 Satz 1 ZPO entbehrlich, da nur eine Nebenforderung betroffen ist. Zudem scheitert der begehrte Anspruch auch am Bestehen der geltend gemachten Hauptforderungen. | Abs. 79 | |
| III. | Abs. 80 | |
| 1. Die Entscheidung zu den Kosten folgt aus § 91 Abs. 1 ZPO, die zur vorläufigen Vollstreckbarkeit aus § 708 Nr. 10, §§ 711, 713 ZPO. | Abs. 81 | |
| 2. Gründe für die Zulassung der Revision (§ 543 Abs. 2 ZPO) oder für eine Vorlage gem. Art. 267 AEUV liegen nicht vor. Soweit der Senat im Rahmen der Prüfung des geltend gemachten Anspruchs auf immateriellen Schadensersatz Art. 82 DS-GVO zu den umstrittenen Fragen der Kausalität und der Verantwortlichkeit auslegt, zu denen noch keine Entscheidung gem. Art. 267 AEUV vorliegt, ist die vorgenommene Auslegung nicht entscheidungserheblich. Die Abweisung des geltend gemachten Anspruchs auf immateriellen Schadensersatz wird selbständig dadurch getragen, dass der Kläger das Vorliegen eines derartigen Schadens nicht bewiesen hat. Die Auslegung von Art. 82 DSGVO hinsichtlich des Merkmals „immaterieller Schaden“ ihrerseits ist durch die Entscheidung des Gerichtshofs vom 4. Mai 2023 (C-300/21), die der Senat seiner Entscheidung zugrunde gelegt hat, hinreichend geklärt (acte éclairée). | Abs. 82 | |
| (online seit: 19.12.2023) | ||
| Zitiervorschlag: Gericht, Datum, Aktenzeichen, JurPC Web-Dok, Abs. |
| Zitiervorschlag: Karlsruhe, OLG, Immaterieller Schaden i.S.d. Art. 82 DS-GVO - JurPC-Web-Dok. 0176/2023 |
