Eine Entscheidung des Landgerichts München I (Az.: 31 O 2122/23) vom 19. April 2024 beleuchtet die rechtlichen Herausforderungen im Zusammenhang mit Datenschutzverletzungen und deren Folgen für betroffene Personen.
In diesem Fall klagte ein Kunde eines Finanzdienstleisters auf Unterlassung, Auskunft und Schadensersatz nach einem Datenleck. Die Klage wurde jedoch abgewiesen. Dieser Beitrag analysiert die wesentlichen Aspekte der Entscheidung, die rechtlichen Grundlagen und die Implikationen für den Schutz von Geschäftsgeheimnissen und personenbezogenen Daten.
Hintergrund der Entscheidung
Der Kläger, ein Kunde des Finanzdienstleisters, machte Ansprüche aus der Datenschutz-Grundverordnung (DSGVO) geltend. Er verlangte Schadensersatz für immaterielle Schäden, eine Unterlassung zukünftiger Datenschutzverletzungen und umfassende Auskunft über die Verwendung seiner Daten. Die Beklagte hatte Zugangsdaten zu ihrem IT-System nach Beendigung der Vertragsbeziehung mit einem Dienstleister nicht geändert, was zu mehreren Datenlecks führte. Die gestohlenen Daten wurden im Darknet angeboten.
Kernaussagen der Entscheidung
Unzureichende Darlegung konkreter Schäden
Das Gericht stellte fest, dass allgemeine Behauptungen über erhöhtes Spamaufkommen und Sorgen vor Missbrauch der Daten keinen konkreten Schaden begründen. Der Kläger konnte keine spezifischen und nachweisbaren Beeinträchtigungen darlegen, die kausal auf das Datenleck zurückzuführen wären. Ohne den Nachweis eines tatsächlichen Schadens besteht kein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO:
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.
Das Merkmal des immateriellen Schadens ist autonom auszulegen (Paal / Aliprandi NJW 2023, 1914 Rn. 5). Erwägungsgrund 146 S. 3 zur DSGVO bestimmt, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht. Erwägungsgrund 75 zur DSGVO nennt etwa Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle personenbezogener Daten. Ein deutsches Verständnis bzw. eine enge Auslegung des Schadensbegriffs ist mithin nicht angezeigt (vgl. dazu BVerfG, Beschluss vom 14.01.2021, 1 BvR 2853/19, NJW 2021, 1005, 1007).
Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich aus der DSGVO nicht. Bagatellschäden sind daher nicht auszuschließen. Erforderlich ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“ bzw. „erlitten“, vgl. Erwägungsgrund 146 S. 6) ist. Ein bloßer Verstoß gegen die Bestimmungen der DSGVO reicht nicht aus, um einen Schadenersatzanspruch zu begründen (EuGH, Urteil vom 04.05.2023, Az. C-300/21, NZA 2023, 621 = NJW 2023, 1930, Rz. 34, 42). Denn ein Schadensersatzanspruch setzt das Vorliegen eines „Schadens“ ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen Verstoß und Schaden voraus, „wobei diese drei Voraussetzungen kumulativ sind“ (vgl. EuGH a.a.O. Rn. 32).
Die Klagepartei ist für den konkreten Schaden darlegungs- und ggf. beweispflichtig (OLG Frankfurt a.M. 02.03.2022, 13 U 206/20, GRUR-RS 2022, 4491 Rn. 57, 65)
Anforderungen an Unterlassungsansprüche
Der Unterlassungsantrag des Klägers war unzulässig, da er nicht hinreichend bestimmt war. Der Antrag spezifizierte nicht klar, welche konkreten Handlungen der Beklagten untersagt werden sollten und welche Sicherheitsmaßnahmen erforderlich wären. Unterlassungsanträge müssen präzise und konkret gefasst sein, um im Vollstreckungsverfahren wirksam durchgesetzt werden zu können.
Erfüllung des Auskunftsanspruchs
Der Auskunftsanspruch des Klägers nach Art. 15 DSGVO war bereits erfüllt. Die Beklagte hatte dem Kläger umfassend Auskunft erteilt, einschließlich der betroffenen Daten und der Empfänger. Der Kläger konnte keine unzureichende oder fehlerhafte Auskunft nachweisen, sodass kein weiterer Anspruch auf Auskunft bestand.
Analyse der rechtlichen Implikationen
Schutz von Geschäftsgeheimnissen und personenbezogenen Daten
Die Entscheidung verdeutlicht die Abwägung zwischen dem Schutz von Geschäftsgeheimnissen und dem Recht auf Auskunft über personenbezogene Daten. Unternehmen müssen sicherstellen, dass sie angemessene technische und organisatorische Maßnahmen zum Schutz von Daten implementieren. Gleichzeitig müssen sie den betroffenen Personen umfassende Auskunft über die Verarbeitung ihrer Daten erteilen, wenn ein berechtigtes Interesse besteht.
Anforderungen an die Darlegung von Schäden
Für einen erfolgreichen Schadensersatzanspruch nach der DSGVO muss der Kläger konkrete und nachweisbare Schäden darlegen. Allgemeine und unspezifische Behauptungen reichen nicht aus. Dies stellt sicher, dass Unternehmen nicht für vage und hypothetische Schäden haftbar gemacht werden, die keinen direkten Bezug zur Datenschutzverletzung haben.
Präzision bei Unterlassungsanträgen
Die Entscheidung betont die Notwendigkeit präziser und konkreter Unterlassungsanträge. Diese müssen klar formuliert sein und spezifische Handlungen und Maßnahmen definieren, die untersagt werden sollen. Dies verhindert unklare und unbestimmte Anträge, die im Vollstreckungsverfahren nicht durchsetzbar sind.
Fazit
Die Entscheidung des Landgerichts München I (Az.: 31 O 2122/23) stellt wichtige Leitlinien für den Umgang mit Datenschutzverletzungen und den Schutz von Geschäftsgeheimnissen auf. Sie unterstreicht die Notwendigkeit, konkrete und nachweisbare Schäden darzulegen, um Schadensersatzansprüche erfolgreich durchzusetzen.
Zudem zeigt sie die Bedeutung präziser und bestimmter Unterlassungsanträge und bestätigt die Erfüllung von Auskunftsansprüchen nach der DSGVO. Unternehmen müssen sowohl den Schutz sensibler Daten gewährleisten als auch den Informationsansprüchen der Betroffenen gerecht werden, um rechtliche Risiken zu minimieren und das Vertrauen ihrer Kunden zu erhalten.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024