Der bloße Kontrollverlust über die eigene E-Mail-Adresse begründet keinen Anspruch auf Ersatz eines immateriellen Schadens. Das geht aus einer Entscheidung des LG München hervor (LG München, Urteil vom 02.09.2021, Az:  23 O 10931/20). 

Das Gericht hatte sich mit zwei praxisrelevanten Fragen auseinanderzusetzen:

1. Wann ist die Auskunftspflicht nach Art. 15 DSGVO erfüllt? Reicht dafür die elektronische Bereitstellung der Daten und die Übersendung eines Links? 

2. Was sind die Voraussetzungen für einen immateriellen Schadensersatzanspruch? 


Zum Sachverhalt

Die Beklagte ist Betreiberin eines sozialen Netzwerkes und einer Online-Plattform. Der Kläger legte dort mit Kanzlei-E-Mail-Adresse ein Kundenkonto an. In einem Schreiben forderte der Kläger Auskunft und Schadensersatz von der Beklagten, aufgrund eines angeblichen Datenschutzvorfalles auf der Webseite XXX mit seiner E-Mail-Adresse.  

In ihrer Antwort wies die Beklagte darauf hin, dass ihr die betreffende Webseite XXX gar nicht gehöre, was zutreffend ist. Außerdem übersendete die Beklagte dem Kläger einen URL-Link, über den er „eine vollständige Kopie“ der von ihm durch die Beklagte verarbeiteten personenbezogenen Daten einsehen und herunterladen könne. Die Auskunftserteilung bzw. die Dateneinsicht erfolgte per Fernzugriff zu einem sicheren Auskunftssystem.

Mit der Klage beanstandet der Kläger zwei Rechtsverletzungen durch die Beklagte: 

Zum einen habe durch eine HPI-Abfrage (HPI Identity Leak Checker) erfahren, dass durch ein Datenleck seine Zugangsdaten bei der Beklagten gestohlen worden waren. Darüber hätte ihn die Beklagte nicht informiert. Es seien auch Mandantenkontakte ‘‘dem Zugriff der Hacker‘‘ preisgegeben worden, die diese später im Darknet zum Verkauf stellten.

Zum anderen hätte der von der Beklagten übersandte URL-Link zur Erfüllung der Auskunft nicht funktioniert, so dass die Beklagte ihre gesetzliche Auskunftspflicht nicht erfüllt hätte.

Durch diesen Verstoß gegen die Auskunftspflicht und durch das Datenleck hätte er „die Kontrolle über seine Daten verloren.“ Hierin liegt sein immaterieller Schaden, der wegen der Schwere der Datenverletzung mit mindestens EUR 4.500 zu bewerten seien. 


Link zu Daten genügt für Auskunftsanspruch

Gericht wies die Klage ab. 

Die Beklagte habe den Auskunftsanspruch erfüllt. Das von der Beklagten bereitgestellte elektronische Auskunftssystem sei ausreichend. Es handele sich dabei – unbestritten -  um ein „marktübliches und zertifiziertesDatenschutz-Managementsystem (DSMS).

Die elektronische Bereitstellung der personenbezogenen Daten zum Zwecke der Erfüllung des Auskunftsanspruches nach Art. 15 DSVO ist gesetzlich ausdrücklich zugelassen (Erwägungsgrund 63).

Anders als vom Kläger behauptet, fand das Gericht dann selbst heraus, dass der von der Beklagten übersandte URL-Link funktionierte. Die Beklagte habe die geforderte Auskunft erteilt, indem sie ihm einen ständig verfügbaren URL-Link zur Verfügung stellte, unter dem der Kunde in seinem Account die über ihn gespeicherten Daten jederzeit abrufen konnte.


Immaterieller Schaden muss dargelegt werden 

Auch die Forderung auf Ersatz des immateriellen Schadens lehnte das Gericht ab.  Zwar bestätigte das LG München zunächst erneut die allgemeine Rechtsaufassung, dass grundsätzlich auch ein immaterieller Schaden einen ersatzfähigen Schaden nach Art. 82 DSGVO darstellen kann. 

Immaterielle Schäden aus einer Datenschutzverletzungen können zum Beispiel sein: 

- Nichtvermögensschäden durch Diskriminierung

- Identitätsdiebstahl oder -betrug

- Rufschädigung

- Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder 

- gesellschaftliche Nachteile. 


Bloßer Kontrollverlust über E-Mail-Adresse reicht nicht für Schadenersatz

Die weiteren Behauptungen des Klägers zum Datenleck bei der Beklagten, waren für das LG München jedoch nicht nachvollziehbar und nicht bewiesen. Selbst wenn durch den Datenhack auch die E-Mail-Adresse des Klägers betroffen gewesen sein sollte (!), hätte er nicht nachgewiesen, dass dadurch auch Mandantenkontakte des Klägers dem Zugriff der Hacker preisgegeben worden sind. 

Für einen immateriellen Schaden hätte der Kläger zumindest konkret vortragen müssen, dass vertrauliche Mandantendaten abgeflossen sein könnten (Konjunktiv!). Hier fehle es an konkreten Tatsachen, so die Richter. Der wahrscheinliche Abfluss der Kanzlei-E-Mail-Adresse genüge nicht, da es sich dabei nicht um eine geheime Information handele. 

Der Kläger habe sich lediglich pauschal auf den „Kontrollverlust über seine persönliche Daten“ gestützt. Das genüge indes nicht, um einen messbaren, immateriellen Schaden festzustellen, so das Gericht.


Was genau verlangt das Gericht für einen immateriellen Schaden?

Interessant ist hier also die Abstufung des Gerichts: Allein die öffentlich bekannte Mail-Adresse der Kanzlei hält das Gericht ausdrücklich für nicht ausreichend, um einen Schadensersatz zuzusprechen. Das Gericht erwartete hier einen glaubhaften Vortrag, dass es durch den Abgriff der Mail-Adresse des Klägers zumindest wahrscheinlich war, dass dadurch auch Mandantendaten abgeflossen sind. Einen Beweis verlangte das Gericht nicht. Das ginge auch zu weit und würde fast einer Beweisumkehr gleichkommen. 

Es muss also zumindest möglich sein, dass durch ein Datenleck weitere personenbezogene Daten abgegriffen worden sein.

 

Ihr Team von rechtswal