Rechtsprechung / Landgericht Frankfurt am Main
Landgericht Frankfurt am Main Urteil vom 18.01.2021 – 2-30 O 147/20
ECLI:DE:LGFFM:2021:0118.2.30O147.20.00
Tenor
Die Klage wird abgewiesen.
Die Kosten des Rechtsstreits hat der Kläger zu tragen.
Das Urteil ist vorläufig gegen Sicherheitsleistung in Höhe von 110% des jeweils zu vollstreckenden Betrags vollstreckbar.
Tatbestand
Die Parteien streiten um Auskunfts- und Schadensersatzansprüche nach der Datenschutzgrundverordnung (DSGVO).
Die Beklagte ist ein Unternehmen mit Sitz in Belgien und einer Repräsentanz in Frankfurt am Main. Sie betrieb bis Juli 2020 neben Zahlungsdiensten das Kundenbindungsprogramm „…“. Teilnehmer dieses Programms konnten bei Bezahlung mit …-Kreditkarte so genannte „Coins“ sammeln und durch Einsatz dieser „Coins“ diverse Prämien bei Internetkäufen von wechselnden Anbietern erlangen. Mit der Durchführung des Programms beauftragte die Beklagte nach einem Auswahlverfahren die ... . und die ... .
Am 14.10.2018 meldete sich der Kläger mit seiner ... -Kreditkarte im vorbeschriebenen Programm der Beklagten an.
Am 21.05.2019 erfolgte ein unbefugter Zugriff auf die Systeme ... ., als ein unbekannter Nutzer sich Zugang zur streitgegenständlichen Datenbank verschafft hatte.
Spätestens am 19.08.2019 wurde der Beklagten bekannt, dass unbekannte Täter Daten von etwa 90.000 Teilnehmern ihres Programms im Internet öffentlich zugänglich gemacht hatten. Der Zugang zur Plattform wurde am selben Tag von der ... . auf entsprechende Anweisung durch die Beklagte gesperrt. Jedenfalls am 29.08.2019 war die Website aufgrund einer Sicherheitsprüfung kurzzeitig nochmals erreichbar.
Mit E-Mail vom 22.8.2019 informierte Die Beklagte den Kläger über den Vorfall. Wegen des Inhalts der E-Mail wird auf Seite 4/5 der Klageschrift Bezug genommen.
Von September 2019 bis Mai 2020 erhielt der Kläger mehrere Spam-SMS sowie Spam-Anrufe auf seinem Diensthandy der …. Dieses hatte er ausschließlich dienstlich verwendet und zuvor keine Spam-Anrufe oder -SMS erhalten.
Die Beklagte kündigte die Teilnahme des Klägers am Programm am 04.06.2020 und erklärte, dass dieses zum 04.07.2020 eingestellt werde.
Der Kläger erhob im Juli 2020 Klage auf Auskunft und Schadensersatz. Mit E-Mail vom 18.10.2020 (Anlage B 7 im gesonderten Anlagenband) übersandte die Beklagte ein Auskunftsschreiben (Anlage B 10 im gesonderten Anlagenband). So wurde der Coinstand des Klägers mit 860 angegeben. Des Weiteren wurden die Transaktionen des Klägers mitgeteilt. Wegen der Einzelheiten der erteilten Auskunft wird auf das Schreiben Bezug genommen.
Der Kläger Ist der Ansicht, er habe datenschutzrechtliche Auskunfts-und Schadensersatzansprüche gegen die Beklagte. Die Beklagte habe die durchführenden Firmen, namentlich die ... . und die ... .., nicht mit hinreichender Sorgfalt ausgewählt. Sie habe zu spät nach dem Datenleck die Verbraucher informiert. Sie habe nicht dafür Sorge getragen, dass die Datensysteme hinreichend im Sinne einer sogenannten Segmentation getrennt werden.
Die geschuldete Auskunft sei auch nicht durch das Schreiben vom 18.10.2020 erteilt. Denn die genaue in der Identität der ... . und der ... .. seien nicht mitgeteilt worden.
Des Weiteren ist der Kläger der Ansicht, dass für ihn Schadenersatzansprüche gegen die Beklagte bestünden, und zwar sowohl für einen materiellen als auch einen immateriellen Schaden. Der materielle Schaden ergebe sich aus der Unmöglichkeit, aufgrund der nun erfolgten Beendigung des Programms die angesammelten Coins einzulösen. Der Kläger behauptet, er habe zuletzt 950 Coins erlangt gehabt, attraktive Prämienangebote seien aber bis zur Einstellung des Programms nicht mehr vorhanden gewesen. Der immaterielle Schaden ergebe sich aus der Belästigung durch die Spam-Anrufe bzw. -SMS unter dem Gesichtspunkt des „Emotional Distress“. Auch für die Zukunft könne er die Feststellung von Schadensersatzansprüchen verlangen.
Der Kläger hat zunächst neben Auskunft von Schadensersatzansprüchen auch noch geltend gemacht, dass festzustellen sei, dass die Höhe der Entschädigung für die noch nicht bezifferbaren Gesamtsumme der vom Kläger bis zum Ende des Vertrags zum 04.07.2020 gesammelten prämienfähigen Umsätze mindestens 1,22 je Coin beträgt. Diesen Antrag haben die Parteien in der mündlichen Verhandlung am 19.11.2020 übereinstimmend für erledigt erklärt, nachdem der Kläger die Zahl der angesammelten Coins mit 950 beziffert und den Wert mit 1,- EUR / Coin angegeben hatte.
Der Kläger beantragt,
1. die Beklagte zu verurteilen, ihm Auskunft zu erteilen, welche Empfänger namentlich - soweit bekannt - zu welchen Zwecken welche personenbezogene Daten des Klägers stammend aus seiner Teilnahme am ... . … Deutschland Programm seit seiner Registrierung am 14.01.2018 erhalten haben; personenbezogene Daten des Klägers sind dabei jene wie in Anl. K1 bezeichnet, insbesondere Name, Anschrift, Geburtsdatum, Mobilfunknummer, E-Mail-Adresse oder ... . Kreditkartennummer, Transaktionsdaten über Kartenzahlungen,
1a. den Verwaltungsrat der Beklagten zu verurteilen, die Richtigkeit der nachzureichenden Auskunft an Eides statt vom Verwaltungsrat der Beklagten zu versichern,
2. die Beklagte zu verurteilen, dem Kläger einen angemessenen Schadensersatz zu zahlen für den Schaden, der ihm dadurch entstanden ist, dass die Beklagte den Zugriff und die Veröffentlichung seiner personenbezogenen Daten gemäß Anl. K1 ganz oder teilweise im Internet auf frei abrufbaren Drittseiten wie ... . am 19.08.2019 und 22.08.2019 ermöglicht hat. Die personenbezogenen Registrierungsdaten sind jene wie auf den Seiten 1-8 der Anl. K1 bezeichnet. Die Höhe des Schadensersatzes wird in das pflichtgemäße Ermessen des Gerichts gestellt, soll jedoch mindestens ein Betrag von 2.650,- EUR betragen nebst 5 % Zinsen über dem Basiszinssatz hieraus ab dem Ablehnungsschreiben vom 18.12.2019, zuzüglich des Schadens i.H.v. 1,22 EUR je Coin mal der Anzahl der Coins zum Ende des gekündigten ... . … Germany Programms mit Wirkung zum 04.07.2020 vom Kläger gesammelten Coins bezifferbar ist und die seit dem 22.08.2019 nicht mehr eingelöst werden konnten.
3. festzustellen, dass die Beklagte verpflichtet ist, dem Kläger für alle noch nicht bekannten oder künftigen weiteren Schäden aus der Veröffentlichung seiner in Anl. K1 bezeichneten personenbezogenen Daten auf Drittseiten wie fileshopper.com in der Zeit seit 19.8.2019 und ... . bis 29.08.2019 entstanden sind,
4. die Beklagte zu verurteilen, dem Kläger den nicht anrechenbaren Teil seiner vorgerichtlichen Anwaltskosten i.H.v. 285,72 EUR (571,44 EUR : 2) nebst Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit 18.12.2019 zu zahlen.
Die Beklagte beantragt,
die Klage abzuweisen.
Die Beklagte behauptet, sie habe erst am 19.08.2019 von dem Datenleck Kenntnis erhalten. Sie ist der Ansicht, ihr sei kein Verstoß gegen die DSGVO vorzuwerfen. Sie hätte den Vorfall nicht verhindern können, nachdem - wie sie behauptet - alle Maßnahmen getroffen worden seien, um ein hinreichendes Schutzniveau zu schaffen.
Entscheidungsgründe
Die Klage ist abzuweisen, da sie teilweise unzulässig, im Übrigen unbegründet ist.
Das Landgericht Frankfurt ist international und örtlich zuständig. Die internationale Zuständigkeit ergibt sich aus Art 79 Abs. 2 DSGVO und aus Art. 7 Nr. 5 EuGVVO (vgl. MüKo, ZPO, 5. Aufl., Brüssel Ia-VO, Art. 7, Rn. 74). Die Beklagte hat zwar ihren Sitz in Belgien. Sie kann jedoch vorliegend in Deutschland, konkret in Frankfurt am Main verklagt werden, weil es um eine Streitigkeit aus dem Betrieb der Repräsentanz geht, die sich hier befindet.
Der Klageantrag zu 1a. ist bereits unzulässig. Ein Antrag auf eidesstattliche Versicherung der Richtigkeit einer noch zu erteilenden Auskunft kann erst dann beschieden werden, wenn tatsächlich die begehrte Auskunft erteilt wurde. Dies ist aus Sicht des Klägers indes nicht der Fall. Der Kläger macht mit seinem Antrag zu 1. einen Auskunftsanspruch erst geltend. Unabhängig davon, ob dieser begründet ist oder nicht, besteht für seinen Antrag zu 1a. auf eidesstattliche Versicherung der Richtigkeit der Auskunft erst dann ein Rechtsschutzinteresse, wenn diese Auskunft erteilt ist, weshalb ein solcher Antrag erst in einer 2. Stufe der Klage zulässig wäre. Hierauf wurde der Kläger auch im Rahmen der mündlichen Verhandlung hingewiesen. Der Antrag wurde gleichwohl gestellt.
Die weitergehende Klage ist unbegründet.
Ein Auskunftsanspruch nach Art. 15 DSG VO bestand ursprünglich (Antrag zu 1.). Dieser ist jedoch durch die Auskunft vom 18.10.2029 sowie durch die zusätzlichen Angaben in der Klageerwiderung bereits erfüllt (§ 362 BGB).
Eine betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Sofern dies der Fall ist, hat sie ein Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere Informationen (Art. 15 DSGVO).
Vorliegend ist der Kläger betroffene Person und die Beklagte Verantwortliche im Sinne der DSGVO. Ein Auskunftsanspruch bestand daher. Er ist weit gefasst und bedarf auch keiner sonstigen Umstände insbesondere keine Pflichtverletzung seitens der Verantwortlichen.
Die geforderte Auskunft ist jedoch bereits erteilt, und zwar mit E-Mail vom 18.10.2020 sowie der darin enthaltenen Anlage … 10. Soweit der Kläger moniert, hierin seien die Identität der … GmbH und der … Ltd. nicht hinreichend bekannt gegeben, kann dem nicht gefolgt werden. Insbesondere hat der Kläger nicht vorgetragen, dass die beiden genannten Gesellschaften anhand ihrer Bezeichnung nicht identifizierbar wären.
Soweit der Kläger Schadensersatzansprüche geltend macht (Antrag zu 2.), sind diese nicht schlüssig vorgetragen.
In Betracht käme grundsätzlich ein Schadensersatzanspruch aus Art. 82 DSGVO. Es ist jedoch bereits nicht schlüssig vorgetragen, dass die Beklagte eine Pflichtverletzung begangen hat, die sie zum Schadensersatz verpflichten würde. Der Umstand allein, dass es zu einem Datenleck kam, indiziert noch nicht, dass dieses auf einer Pflichtverletzung durch die Beklagte oder ihre Erfüllungsgehilfen, die … GmbH bzw. die … Ltd, beruhte.
Es ist durchaus denkbar, dass ein illegaler Hacker-Angriff stattgefunden hatte, mit dem die Beklagte oder ihre Erfüllungsgehilfen in dieser Form nicht zu rechnen brauchten. Es wäre Sache des Klägers darzulegen und zu beweisen, dass das Datenleck aufgrund einer Pflichtverletzung der Beklagten oder ihrer Erfüllungsgehilfen entstanden ist.
Der Kläger kann sich insoweit auch nicht auf Art. 82 Abs. 3 DSGVO berufen. Hierin heißt es zwar, dass der Verantwortliche von einer Haftung gemäß Art. 82 Abs. 2 DSGVO befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Dies führt jedoch nur insoweit zu einer Beweislastumkehr, als die Frage des Verschuldens betroffen ist, nicht aber Zu einer Beweislastumkehr bei der Frage nach der Ursache eines Datenlecks. Gemäß Art. 82 Abs. 2 DSGVO haftet nämlich jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Dies bedeutet, dass der Kläger zunächst darlegen und beweisen müsste, dass das Datenleck durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Lediglich hinsichtlich der Frage des Verschuldens hierbei würde dann die Beweislastumkehr nach Art. 82 Abs. 3 DS GVO greifen.
Der Kläger hat jedoch bereits nicht dargelegt, dass das Datenleck auf einer entsprechenden Pflichtverletzung der Beklagten beruhte. Soweit er eine fehlende Segmentalen vorträgt, ist dies letztlich nur eine Vermutung, die er dazu anstellt, wie es zu dem Datenleck gekommen sein könnte. Eine schlüssige und nachweisbare Behauptung ist damit jedoch nicht verbunden.
Darüber hinaus ist ein materieller Schaden bereits nicht dargetan. Das Sammeln von Coins mit der Möglichkeit, diese im Internet zum Kauf weiterer Produkte als Prämien einzusetzen, stellt lediglich eine Möglichkeit des Verbrauchers dar und keinen gesicherten Vorteil. Bestimmte Prämien waren nach dem Programm schon nicht versprochen, so dass der Kläger sich auf ein aus seiner Sich nicht attraktives Angebot nicht berufen kann.
Hinsichtlich der Spam-Anrufe und -SMS verkennt das Gericht nicht, dass solche sehr lästig sein können. Dies gilt insbesondere für die Anrufe, da diese eine Person unmittelbar in dem unterbrechen, was sie gerade tut, und da diese nicht durch einen Spamfilter abgefangen werden können, wie dies etwa bei E-Mails der Fall wäre. Jedoch ist auch insoweit nicht sicher festzustellen, dass diese Spam-Anrufe auf dem Datenleck bei der Beklagten beruhten. Wie zwischen den Parteien unstreitig ist, ist das Datenleck bereits am 21.05.2019 erstmals aufgetreten. Soweit der Kläger vorträgt, er habe ab September 2019 Spam-Anrufe und –SMS erhalten, liegt hier eine erhebliche zeitliche Zäsur vor, so dass ein Beruhen des Spam auf dem Datenleck bei der Beklagten nicht indiziert ist.
Mangels eines bereits dem Grunde nach bestehenden Schadensersatzanspruchs besteht auch kein Feststellungsinteresse für weiteren Schadensersatz für die Zukunft, so dass auch der Antrag zu 3. als unbegründet abzuweisen ist.
Aufgrund der Unbegründetheit der Klage können auch die vorgerichtlichen Rechtsanwaltskosten nicht erstattet verlangt werden, weshalb auch der Antrag zu 4. als unbegründet abzuweisen ist.
Die Kostenentscheidung beruht auf §§ 91 Abs. 1, 91 a Abs. 1 ZPO. Die Entscheidung zur vorläufigen Vollstreckbarkeit ergibt sich aus § 709 ZPO.