Kein Schadensersatz trotz Datenschutzverstoß

30.09.2020

Im Urteil vom 18. September 2020 (Az.: 2-27 O 100/20) befasste sich das Landgericht Frankfurt am Main mit verschiedenen geltend gemachten Ansprüchen eines Verbrauchers gegen Mastercard. Im Rahmen eines Bonusprogramms für deutsche Kunden, welches durch einen Dienstleister gesteuert wurde, kam es zu einem Datenvorfall. Bei diesem Vorfall machten unbekannte Täter die im Rahmen des Bonusprogramms erhobenen Daten von ca. 90.000 Teilnehmern im Internet öffentlich zugänglich.

Beurteilung des Vorfalls durch das Landgericht Frankfurt am Main

Das Landgericht Frankfurt am Main wies in seinem Urteil sowohl Unterlassungsansprüche als auch Schadensersatzansprüche des Klägers ab. Hinsichtlich des geltend gemachten Unterlassungsanspruchs, sah das Landgericht die Wiederholungsgefahr trotz gegebener rechtswidriger Beeinträchtigung nicht gegeben. Insofern sei darauf abzustellen, dass der Eingriff durch eine einmalige Sondersituation entstanden sei, welche durch das kriminelle und unvorhersehbare Verhalten eines externen oder internen Dritten begründet wurde. Die Beklagte hatte nach Bekanntwerden umfangreiche Maßnahmen ergriffen, welche einen erneuten Verstoß in der Art ausschließen würden.

Auch die geltend gemachten Schadensersatzansprüche des Klägers wies das Landgericht Frankfurt am Main ab. Der Kläger sei als Anspruchsteller zunächst für den Verstoß gegen datenschutzrechtliche Vorschriften beweisbelastet. Darüber hinaus müsse ein etwaiger Verstoß gegen Pflichten aus der DSGVO für den Datenvorfall und den Schaden des Betroffenen kausal sein. Diese Kausalität ließ sich im vorliegenden Fall in Bezug auf die vom Kläger geltend gemachten Verstöße nicht feststellen. Schließlich sei zu berücksichtigen, dass nicht jede Datenschutzverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung automatisch ein ersatzfähiger Schaden sei. Es müsse vielmehr aufgrund der Verletzung zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person gekommen sein. Ein Strafschadensersatz widerspricht der Systematik des deutschen Rechts. Insofern führt das Landgericht Frankfurt am Main die bereits durch andere Gerichte bestätigte Auffassung fort (vgl. Beitrag „Kein Schadensersatzanspruch nach der DSGVO bei individuell empfundenen Unannehmlichkeiten oder immateriellen Bagatellschäden“).

Was ist für Unternehmen hinsichtlich Schadensersatzansprüche im Datenschutzvorfall zu beachten?

Im Einzelnen führte das Landgericht Frankfurt am Main folgende für von Hackerangriffen betroffene Unternehmen wesentliche Punkte hinsichtlich geltend gemachter Schadensersatzansprüche aus:

  1. Die Veröffentlichung der Daten im Internet sei nicht durch die Beklagte, sondern einen unbekannten Dritten vorgenommen worden und sei somit nicht als Verstoß der Beklagten zu werten.
  2. Da es unklar geblieben ist, wodurch das Datenleck verursacht wurde, sei eine Kausalität des etwaigen Verstoßes für den Datenvorfall und damit den Schaden des Klägers nicht feststellbar. Es bliebe Spekulation, ob der Vorfall durch andere Sicherheitsmaßnahmen hätte verhindert werden können.
  3. DSGVO fordert lediglich angemessene und dem Stand der Technik entsprechende Sicherheitsmaßnahmen. Auf das Ergreifen einer bestimmten Maßnahme würde kein Anspruch bestehen, so dass das Nichtergreifen einer bestimmten Maßnahme auch keinen Schadensersatz begründen könne.
  4. Aus dem Nichtabschluss von Verträgen zur gemeinsamen Verantwortlichkeit entstehen betroffenen Personen ebenfalls keine Schadensersatzansprüche. Es sei nicht ersichtlich, worin der Schaden der betroffenen Person liegen solle, wenn Verträge nicht geschlossen sein sollten.

Rechtlicher Schutz von Unternehmen bei Hackerangriffen

Das Urteil des Landgerichts Frankfurt am Main vom 18. September 2020 stärkt von Hackerangriffen betroffenen Unternehmen erfreulicherweise den Rücken. Erneut wird bekräftigt, dass Anspruchsteller für die Anspruchsgrundlagen beweis- und darlegungsbelastet sind sowie, dass nicht jeder Verstoß gegen datenschutzrechtliche Vorschriften automatisch zu einem Schaden der betroffenen Personen führt. Sofern Unternehmen somit trotz angemessener und technisch auf aktuellem Stand Sicherheitsmaßnahmen Opfer von Hackerangriffen werden, ist ein geltend gemachter Unterlassungs- und Schadensersatzanspruch auf seine Berechtigung hin zu prüfen. In der Regel dürften diese nicht berechtigt sein. Unternehmen, welche Opfer von Cyber-Attacken geworden sind, tun somit auch in dieser Hinsicht gut daran, sich professionelle Rechtsberatung einzuholen bevor Ansprüche von betroffenen Personen einfach erfüllt werden.