DSGVO: Keinerlei Ansprüche nach Datenleck bei einem Finanzdienstleister

Hinsichtlich eines Anspruchs auf immateriellen Schadenersatz aus Art. 82 Abs. 1 DSGVO ist die Klagepartei für den konkreten Schaden darlegungs- und ggf. beweispflichtig. Unerwünschte Kontaktaufnahmeversuche sind zwar durchaus lästig, aber im Hinblick auf die vermehrte Angabe von Kontaktdaten bei Online-Einkäufen, Reservierungen etc. nicht zu vermeiden.

Der Sachverhalt:
Die Beklagte erbringt über ihre Website Wertpapierdienstleistungen, insbesondere in Form der individuellen Vermögensverwaltung für Privatkunden, sowie finanzdienstleistungsnahe Softwaredienstleistungen. Zusätzlich bietet sie Brokerage-Dienstleistungen an und vermittelt Tages-, Fest- und Flexgeldangebote. Der Kläger ist Kunde der Beklagten und unterhält ein Kundenkonto bei dieser.

Die Beklagte hatte bei ihrem früheren Dienstleister Zugangsinformationen zu ihrem vollständigen IT-System hinterlegt (ihm also Adminrechte zugewiesen). Nach Beendigung der Vertragsbeziehung Ende 2015, erfolgte weder eine Änderung des Admin-Passwortes und der Zugangsdaten, noch eine Überprüfung der Löschung der Zugangsdaten seitens des Dienstleisters durch die Beklagte. Allerdings kam es bei dem IT-Unternehmen im Nachgang zu einem „Hackerangriff“. Die Angreifer verschafften sich mithilfe der Zugangsdaten Zugriff auf das Dokumentenarchiv der Beklagten und die darin befindlichen Kundendaten, die auch die personenbezogenen Daten der Klagepartei enthielten.

Nachdem der Kläger im Oktober 2020 von der Beklagten über den streitgegenständlichen Datenvorfall informiert worden war, fragte er zunächst nicht weiter nach. Er vertraute vielmehr darauf, dass die in der Information enthaltenen Daten korrekt waren, und sah keinen Anlass, von der Beklagten weiteres zu fordern. Sein Kundenverhältnis bei der Beklagten setzte er ohne weitere Bedingungen fort. Erst nach Mandatsübernahme der Klägervertreter im Dezember 2022 schlug die Kanzlei vor, noch weitere Auskunft zu verlangen.

Der Kläger war der Ansicht, ihm sei durch das Datenleck und die daraus folgende unbefugte Weitergabe seiner personenbezogenen Daten bereits ein immaterieller Schaden entstanden. Deshalb stehe ihm ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu. Zudem bestehe ein Unterlassungsanspruch nach §§ 1004 BGB analog, 823 Abs. 1 bzw. Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO, Art. 13 DSGVO, 14 DSGVO und Art. 17 DSGVO.

Das LG hat die Klage vollumfänglich abgewiesen.

Die Gründe:
Der Unterlassungsantrag war bereits zu unbestimmt i.S.v. § 253 Abs. 2 Nr. 2 ZPO, da er nicht deutlich gemacht hat, welche Fälle des „Dritten zugänglich (…) machens“ er erfassen soll, welche „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ die Beklagte bei jeglicher Zugänglichmachung vornehmen müsste und/oder welche „Rechtfertigungsgründe nach der DSGVO“ das Unterlassungsgebot nicht eingreifen lassen sollen. Beim Antrag auf Auskunft fehlte es an einem Rechtsschutzbedürfnis. Hinsichtlich der geltend gemachten Schadensersatzansprüche war die Klage unbegründet.

Der Kläger hat keinen Anspruch auf immateriellen Schadenersatz aus Art. 82 Abs. 1 DSGVO, denn es fehlte jedenfalls am Eintritt eines immateriellen Schadens, der sich kausal auf den streitgegenständlichen Datenschutzvorfall zurückführen ließ. Die Klagepartei ist für den konkreten Schaden darlegungs- und ggf. beweispflichtig. Insofern hat der Kläger nicht zur Überzeugung des Gerichts dargelegt, dass bei ihm aufgrund eines möglichen Datenschutzverstoßes der Beklagten tatsächlich ein immaterieller Schaden eingetreten war. Die Ausführungen hierzu erschöpften sich lediglich in allgemeinen formelhaften Wendungen, die mit identischem Inhalt in einer Vielzahl von Verfahren vorgebracht wurden und werden. Diesbezüglich wurde nur vorgetragen, der Kläger leide seither unter einem erhöhten Spamaufkommen, er lebe seither in Sorge vor einem Missbrauch seiner Daten und habe einen „anhaltenden Kontrollverlust über persönliche und sensible Daten“ erlitten.

Auch der Umstand, dass der Kläger seit ca. 1 Jahr zunehmend betrügerische Kontaktversuche auf seiner bereits seit ca. 20 Jahren von ihm genutzten Handynummer erhält, stellte kein Indiz für eine missbräuchliche Nutzung gerade der aus dem streitgegenständlichen Vorfall abgegriffenen Daten dar. Denn in diesem Zeitraum ist das Allgemeine Lebensrisiko für derartige Kontaktversuche enorm gestiegen und hatten entsprechende Absender aus der bereits ca. 20-jährigen Nutzungsdauer der Handynummer bereits genügend andere Möglichkeiten, um an diese zu gelangen. Unerwünschte Kontaktaufnahmeversuche sind zwar durchaus lästig, aber im Hinblick auf die vermehrte Angabe von Kontaktdaten bei Online-Einkäufen, Reservierungen etc. nicht zu vermeiden.

Mehr zum Thema:

Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht: Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!

Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht (DSGVO/BDSG). Jetzt mit Top-Inhalten zum Datenschutzrecht aus dem C.F. Müller Verlag. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!