Rechtsprechung / Landgericht GieBen

Landgericht GieBen Urteil vom 02.02.2024 – 9 O 462/23

ECLI:DE:LGGIESS:2024:0202.9O462.23.00

Tenor

Die Klage wird abgewiesen.

Die Kosten des Rechtsstreits hat der Kläger zu tragen.

Das Urteil ist vorläufig vollstreckbar.

Der Kläger darf die Vollstreckung durch Sicherheitsleistung i.H.v. 110 % des vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit i.H.v. 110 % des jeweils zu vollstreckenden Betrages leistet.

Der Streitwert wird auf bis 3.000 € festgesetzt.

Tatbestand

Die Parteien streiten um Ansprüche aus dem Gesichtspunkt des Datenschutzes.

Die Beklagte betreibt eine Musik-Streaming-Plattform unter der Internetadresse ---. Der Kläger ist ein Kunde der Beklagten. Am 6.11.2022 boten Kriminelle Daten von Nutzern der Beklagten im Darknet an. Am 23.12.2023 wurden sie frei zugänglich zur Verfügung gestellt. Darunter befanden sich die folgenden Daten des Klägers: ---

Der Kläger beauftragte seine späteren Prozessbevollmächtigten mit der Geltendmachung seiner Rechte. Sie forderten die Beklagte mit E-Mail vom 24.7.2023 zur Auskunft, zur Zahlung einer billigen Entschädigung in Geld und zur Abgabe von Unterlassungserklärungen auf. Hierfür stellten sie dem Kläger auf Basis eines Gegenstandswertes von 11.000 € und eine 1,3-fachen Geschäftsgebühr gemäß Nr. 2300 VV RVG zuzüglich Post- und Telekommunikationspauschale gemäß Nr. 7002 VV RVG sowie Umsatzsteuer gemäß Nr. 7008 VV RVG mithin 1.054,10 € in Rechnung.

Die Beklagte erteilte in der Klageerwiderung Auskunft. Auf sie wird Bezug genommen und verwiesen (Bl. 149, 166-169 der Akten).

Der Kläger behauptet, im Jahr 2019 seien 229 Millionen Datensätze von Nutzern der Beklagten gestohlen worden. Der Datensatz des Klägers habe sich darunter befunden. Das sei erst Ende 2022 bzw. Anfang 2023 öffentlich bekannt geworden. Der Diebstahl habe darauf beruht, dass die Beklagte und ihre Auftragsverarbeiter keine angemessenen Sicherheitsmaßnahmen vorgehalten hätten. Aufgrund dieses Datendiebstahls habe der Kläger einen Kontrollverlust in Bezug auf seine Daten erlitten und sei das Opfer von Betrugsversuchen über Fernkommunikationsmittel geworden. Hierdurch sei er stark verunsichert. Darüber hinaus fühle er sich unwohl.

Der Kläger beantragt mit seiner am 9.10.2023 zugestellten Klage:

1.

Die Beklagte wird verurteilt, an den Kläger immateriellen Schadenersatz in angemessener Höhe zu zahlen, dessen Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch 1.000 € nebst Zinsen seit Rechtshängigkeit i.H.v. 5 Prozentpunkten über dem Basiszinssatz.

2.

Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der im Jahr 2019 erfolgte, entstanden sind und/oder noch entstehen werden.

3.

Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000 €, ersatzweise an ihrem gesetzlichen Vertreter (Director) zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter (Director) zu vollstreckende Ordnungshaft bis zu sechs Monaten im Wiederholungsfall bis zu zwei Jahren, zu unterlassen, die Klägerseite betreffende personenbezogene Daten, welche die Beklagte im Rahmen der Account-Erstellung sowie im Rahmen der Nutzung des Musikstreaming-Dienstes ---verarbeitete, selbst und/oder durch Dritte und/oder Auftragsverarbeiter zu verarbeiten, ohne geeignete technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO zu ergreifen und/oder ergreifen zu lassen, welche die unbefugte Offenlegung von bzw. den unbefugten Zugang zu personenbezogenen Daten betreffend die Klägerseite verhindern, wie jedoch geschehen mit Datenvorfall 2019.

4.

Die Beklagte wird verurteilt, der Klägerseite Auskunft über die Klägerseite betreffende personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich welche Daten von welchem Empfänger gestohlen wurden und/oder durch welche Empfänger zu welchem Zeitpunkt durch den Datenvorfall aus dem Jahre 2019 erlangt werden konnten.

5.

Die Beklagte wird verurteilt, an die Klägerseite vorgerichtliche Rechtsanwaltskosten i.H.v. 1.054,10 € zu zahlen zuzüglich Zinsen seit Rechtshängigkeit i.H.v. 5 Prozentpunkten über dem Basiszinssatz.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte behauptet, sie sei am Nachmittag des 8.11.2022 darüber in Kenntnis gesetzt worden, dass unbekannte Kriminelle im Internet Daten von Nutzern der Beklagten zum Verkauf angeboten. Die Beklagte habe daraufhin unverzüglich die französische Datenschutzbehörde informiert und mit ihr zusammengearbeitet. Die weiteren Ermittlungen hätten ergeben, dass die Daten vermutlich kurz zuvor bei einem ehemaligen Auftragsverarbeiter der Beklagten gestohlen worden seien. Zu diesem Zeitpunkt sei das Vertragsverhältnis mit ihm bereits einige Zeit beendet gewesen. Er habe ihr zu diesem Zeitpunkt bereits zugesichert gehabt, die Daten gelöscht zu haben. In Wirklichkeit seien Daten mit Stand 2019 unberechtigt in eine Testumgebung überführt und dort noch vorhanden gewesen. Diese Daten seien wahrscheinlich gestohlen worden.

Zur Vertiefung des Sach- und Streitstandes und wegen der Einzelheiten wird auf die zwischen den Parteien gewechselten Schriftsätze sowie das Protokoll der mündlichen Verhandlung jeweils nebst Anlagen Bezug genommen verwiesen.

Entscheidungsgründe

Die Klage ist zulässig.

Das Landgericht Gießen ist international, sachlich und örtlich zuständig.

Die internationale Zuständigkeit des Landgerichts Gießen folgt neben Art. 79 Abs. 2 DSGVO aus Art. 18 Abs. 1 Alt. 2 in Verbindung mit Art. 17 Abs. 1 lit. c) EuGVVO. Hiernach kann der Verbraucher an seinem Wohnsitz seinen Vertragspartner wegen Streitigkeiten aus einem Vertrag verklagen, wenn sein Vertragspartner in dem Mitgliedstaat, in dessen Hoheitsgebiet der Verbraucher seinen Wohnsitz hat, eine berufliche oder gewerbliche Tätigkeit ausübt oder eine solche auf irgendeinem Wege auf diesen Mitgliedstaat oder auf mehrere Staaten, einschließlich dieses Mitgliedstaats, ausrichtet und der Vertrag in den Bereich dieser Tätigkeit fällt. So liegt es hier. Der Kläger ist Verbraucher im Sinne des Art. 17 Abs. 1 lit. c), da er das Angebot der Beklagten lediglich für private Zwecke nutzt. Die Beklagte übt mit ihrem Angebot eine berufliche Tätigkeit auf dem Gebiet der Europäischen Union aus. Darüber hinaus ist der Kläger durch die Nutzung der Plattform mit der Beklagten auch vertraglich verbunden.

Die sachliche Zuständigkeit folgt aus § 39 S. 1 ZPO. Nach dieser Vorschrift wird die Zuständigkeit eines Gerichts des ersten Rechtszuges dadurch begründet, dass der Beklagte, ohne die Unzuständigkeit geltend zu machen, zur Hauptsache mündlich verhandelt. Die Beklagte hat sich mit dem Stellen ihrer Anträge in der mündlichen Verhandlung (§ 137 Abs. 1 ZPO) rügelos zur Hauptsache eingelassen.

Die örtliche Zuständigkeit des Landgerichts Gießen folgt ebenfalls aus Art. 18 Abs. 1 Alt. 2 EuGVVO. Der Kläger hat seinen Wohnsitz im hiesigen Landgerichtsbezirk.

Die Klageanträge sind hinreichend bestimmt, § 253 Abs. 2 Nr. 2 ZPO.

Grundsätzlich ist ein Klageantrag hinreichend bestimmt, wenn er den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung so konkret bezeichnet, dass der Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) klar abgegrenzt ist, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennbar sind, das Risiko des Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abgewälzt und eine etwaige Zwangsvollstreckung nicht mit einer Fortsetzung des Streits im Vollstreckungsverfahren belastet wird (BGH, Urt. v. 21.11.2017, II ZR 180/15 = NJW 2018, 1259, 1259 Rn. 8 m. w. N.; Greger in: Zöller, ZPO, 32. Aufl. 2018, § 253, Rn. 13). Diesen Anforderungen werden die Anträge jedenfalls durch Auslegung gerecht.

Dem Kläger steht ein Feststellungsinteresse zur Seite

Die Klage ist unbegründet.

Dem Kläger stehen die geltend gemachten Ansprüche unter keinem rechtlichen Gesichtspunkt zu. Sie ergeben sich insbesondere nicht aus den Anspruchsgrundlagen, die der Kläger auf Seite 13 der Klageschrift ins Feld führt.

Der Kläger hat gegen die Beklagte aus keinem rechtlichen Gesichtspunkt Anspruch auf Schadenersatz bzw. eine billige Entschädigung in Geld.

Die Kammer hatte gemäß § 138 Abs. 3 ZPO von dem von der Beklagten geschilderten Sachverhalt, wie es zu dem Datendiebstahl kam, auszugehen, weil der insoweit darlegungs und beweisbelastete Kläger diesem Vortrag nicht substantiiert entgegengetreten ist. Dabei war auch zu berücksichtigen, dass nichts dafür spricht, dass Daten im Jahr 2019 bei der Beklagten gestohlen wurden, aber erst im Jahr 2022 zum Verkauf angeboten wurden. Der Wert von personenbezogenen Daten, die für Betrugszwecke geeignet sind, wie insbesondere E-Mail-Adressen ist je höher, desto aktueller Datensatz ist. Es sind vor diesem Hintergrund keine Gründe dargetan oder ersichtlich, warum Kriminelle drei Jahre mit dem Angebot erbeuteter Daten zuwarten sollten.

Die Beklagte hat gemessen an diesem Sachverhalt nicht gegen geltendes Datenschutzrecht verstoßen.

Darüber hinaus ist ihr der Datendiebstahl bei einem ehemaligen Vertragspartner nicht zuzurechnen. Ein möglicher Kausalzusammenhang zwischen der Überlassung der Daten an den ehemaligen Vertragspartner durch die Beklagte und dem Datenverlust wurde durch das selbstständige, dazwischentretende Ereignis der unbefugten Überführung der Daten in eine Testumgebung unterbrochen.

Auf die Frage, ob der Beklagte durch den Datenverlust einen Schaden erlitten hat, kommt es vor diesem Hintergrund nicht an.

Aus den nämlichen Gründen scheitern der Feststellungs- und der Unterlassungsanspruch. In Bezug auf Letzteren fehlt es darüber hinaus an einer Wiederholungsgefahr.

Ein Auskunftsanspruch des Klägers nach Art. 15 DSGVO besteht nicht. Er ist in dem dem Kläger zustehenden Umfang durch die Erteilung der Information seitens der Beklagten durch Erfüllung erloschen (§ 362 Abs. 1 BGB). Soweit der Kläger einwendet, die Empfänger der Daten seien nicht mitgeteilt worden, ist das unzutreffend. Die Beklagte hat nicht nur mitgeteilt, an wen sie Daten des Klägers weitergeleitet hat, sondern auch, wem die Daten wahrscheinlich entwendet wurden. Dass die Beklagte weiß, wer die Daten gestohlen hat, ist weder dargetan noch ersichtlich. In Bezug auf diesen Empfänger treffen sie vor diesem Hintergrund keine Auskunftspflichten.

Der Kläger hat auch keinen Anspruch auf Ersatz vorgerichtlicher Rechtsverfolgungskosten. Insoweit fehlt es bereits, wie vorstehend dargestellt worden ist, an einer der Beklagten zurechenbaren Pflichtverletzung.

Dass der Auskunftsanspruch bestand, ändert hieran nichts. Es ist weder dargetan noch ersichtlich, dass sich die Beklagte mit der Erfüllung des Auskunftsanspruches in Verzug befand, bevor der Kläger seinen späteren Prozessbevollmächtigten mit der außergerichtlichen Geltendmachung seiner Ansprüche beauftragte.

Die Kostenentscheidung folgt aus § 91 ZPO.

Die Entscheidung über die vorläufige Vollstreckbarkeit aus §§ 708 Nr. 11 Alt. 2, 711 ZPO.

Die Festsetzung des Streitwertes aus §§ 63 Abs. 2, 40, 48 GKG, § 3 ZPO. Dabei waren der Klageantrag Ziffer 1 mit 1.000 €, der ursprüngliche Klageantrag Ziffer 2 mit 500 €, der Klageantrag Ziffer 3 mit 500 € und der Klageantrag Ziffer 4. mit 500 € zu beziffern.