In einer aktuellen Entscheidung vom 9. Dezember 2021 hat das Landgericht München I (Az. 31 O 16606/20) jetzt einem Kläger einen Anspruch auf Ersatz seines immateriellen Schadens in Höhe von 2.500,00 EUR zugesprochen. Erstritten wurde der Schadensersatz von der Europäischen Gesellschaft für Datenschutz (EuGD), welche in einer Pressemittelung zu dieser Entscheidung darauf hinweist, dass es sich hierbei – soweit ersichtlich – um das erste Urteil in Deutschland handelt, bei dem ein Opfer eines Datenlecks ein Schadensersatz zugesprochen wurde.

Die Entscheidung aus München

Das Landgericht München I verurteilte die Beklagte mit dem folgenden Tenor:

  1. Es wird festgestellt, dass die Beklagte verpflichtet ist, dem Kläger alle materiellen künftigen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten im Zeitraum von April bis Oktober 2020 entstanden sind.
  2. Die Beklagte wird verurteilt, an den Kläger einen immateriellen Schadensersatz in Höhe von 2.500, – Euro nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 04.02.2021 zu zahlen.
  3. Die Beklagte hat die Kosten des Rechtsstreits zu tragen.
  4. Das Urteil ist für die Klagepartei gegen Sicherheitsleistung in Höhe von 110% des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.

Schon der Tenor zu 1) ist aus Sicht von datenverarbeitenden Unternehmen bemerkenswert. Durch die Verurteil auf Feststellung, dass die Beklagte zum Ersatz auch aller materiellen künftigen Schäden verpflichtet ist, erhöht sich das Schadensersatzrisiko für Unternehmen nach einem Datenleck noch einmal erheblich. So können zu diesen Schäden beispielsweise die Kosten des Klägers für IT-Dienstleister sein, die bei der Ermittlung des Sachverhaltes eingesetzt werden mussten. Möglicherweise fallen hierunter auch kausal nachweisbare Schäden, die durch einen erfolgten Identitätsdiebstahl bei dem Betroffenen eintreten.

So führt das Landgericht hierzu aus:

„Hinsichtlich des Feststellungsantrages ist auch das gem. § 256 Abs. 1 ZPO erforderliche Feststellungsinteresse zu bejahen, da die Möglichkeit besteht, dass weitere Schäden durch die Verwendung der illegal erlangten Daten entstehen. Dies wäre nur dann nicht gegeben, wenn aus Sicht des Klägers bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (vgl. Bacher BeckOK ZPO, Vorweık/Wolf 42. Edition Stand: 01.09.2021 § 256 Rn. 24). Aber gerade bei einem solch umfangreichen Datenabgriff ist bei lebensnaher Betrachtung davon auszugehen, dass dies nicht ohne eine bestimmte, und zwar illegale Absicht erfolgt ist.“

Keine Beweislastumkehr durch allgemeine Rechenschaftspflicht

Das Landgericht München I ist der Ansicht, dass der Kläger – mit Ausnahme des Verschuldens – die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt. Aus der allgemeinen Rechenschaftspflicht nach Art. 5 Abs. 2, 24 Abs. 1 DSGVO ergebe sich keine Beweislastumkehr zugunsten des Betroffenen, da diese nur gegenüber den Behörden gelte.

„Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. Hierauf kann jedoch eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden (Quaas BeckOK Datenschutzrecht, Wolff/Brink; 36. Edition Stand: 01.05.2021 § 82 Rn. 51; 9 U 34/21 OLG Stuttgart Urteil vom 31.03.2021; LG Frankfurt vom 18.01.2021 — 2-30 O 147/20).“

Verstoß gegen die Pflicht zur Sicherheit der Verarbeitung

Das Landgericht sieht in dem Datenleck einen Verstoß der Beklagten gegen ihre Pflicht, für die Sicherheit der Verarbeitung zu sorgen. So führt es hierzu zunächst aus:

„Im Hinblick auf die Frage des Datenschutzverstoßes verlangt Art. 32 DSGVO (Sicherheit der Verarbeitung) geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) entnommen werden.“

Dabei sah das Gericht als erwiesen an, dass die Beklagte insofern einen eigenen Verstoß begangen hat und sich nicht nur den Verstoß eines Dritten zurechnen lassen muss:

„Hierbei kann dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen zugerechnet werden können. Denn die Beklagte hat selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DSGVO).

So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen CS. nach Beendigung der Geschäftsbeziehung nicht geändert hat. Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens CS. gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen. Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn – wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden.“

Kausaler Schaden hinreichend dargelegt

Der Kläger habe nach der Kammer auch einen kausalen Schaden hinreichend dargelegt.

„Es liegt auch die erforderliche Kausalität zwischen dem „DSGVO-Verstoß“ und dem „Schaden“ vor. Art. 82 Abs. 1 DSGVO verlangt, dass der Schaden infolge eines konkreten DSGVO-Verstoßes eintritt. Es genügt zwar nicht, dass ein Schaden bloß auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen war (OLG Stuttgart, Urteil vom 31. März 2021, Az. 9 U 34/21, S. 8, Anlage B 2; Paal, MMR 2020, 14, 17 m.w.N.), vorliegend beruht der Schaden aber nicht nur auf eine solche Verarbeitung. Es ist davon auszugehen, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre (vgl. Quaas, in: BeckOK Datenschutzrecht, Wolff/Brink, 33. Ed., 01.08.2020, Art. 82 DSGVO Rn. 51; 26 – Mitursächlichkeit genügt).“

Auswirkungen auf die Praxis

Nachdem die ordentlichen Gerichte nach einem Datenleck bislang sehr zurückhaltend waren, den Klägern einen immateriellen Schadensersatz zuzusprechen, markiert die Entscheidung aus München einen Wendepunkt. Erstmals schafft es ein Kläger, ein Gericht nicht nur von einem schuldhaften Verstoß für einen Datenleck zu überzeugen, sondern auch von einem kausalen Schaden. Gerade diese beiden Hürden stellten sich bislang für Kläger als zu hoch da. Entweder konnten die Gerichte nach dem klägerischen Vortrag keinen schuldhaften Verstoß der jeweiligen Beklagten feststellen oder die Kläger hatten ihren Schaden nach Auffassung der Gerichte nicht hinreichend dargelegt. Oder beides.

Das Landgericht München I hat die Anspruchsvoraussetzungen von Art. 82 DSGVO konsequent durchgeprüft und keinerlei Auslegungsschwierigkeiten gesehen. Es sah sich auch zurecht nicht gezwungen, die Sache auszusetzen und eine Vorabentscheidung des EuGHs einzuholen. Diesen Weg ist das Landgericht Saarbrücken in einer ebenfalls aktuellen Entscheidung gegangen. Zu der EuGH-Vorlage des Landgericht Saarbrücken ausführlich im Blogbeitrag „Privacy Litigation: Landgericht Saarbrücken fragt EuGH zu Artikel 82 DSGVO“.

Mehr zum Thema DSGVO-Schadensersatz hier: Der DSGVO-Schadensersatz nach Art. 82 DSGVO beschäftigt deutsche Unternehmen und Gerichte

Mehr zum Thema Privacy Litigation in meinem gleichnamigen Buch:

Privacy Litigation – Datenschutzrechtliche Ansprüche durchsetzen und verteidigen

Veröffentlicht von Sebastian Laoutoumai

Rechtsanwalt und Fachanwalt für IT-Recht, Löffel Abrar Rechtsanwälte