Manch einer hoffte darauf, dass die DSGVO den Schadensersatz bei Datenschutzverstößen erleichtert. Allerdings ist die Vorstellung, dass nur ein Datenleck vorliegen muss und schon fallen wie bei einem Goldesel die Goldstücke heraus, irrig.

Dies zeigt, nachdem wir bereits über einen ähnlichen Fall berichtet hatten, eine aktuelle Entscheidung des Landgerichts Frankfurt am Main.

Datenleck und Spam als Türöffner für Schmerzensgeld?

Ein Schnäppchenjäger nutzte seine Mastercard, um an einem Prämienprogramm teilzunehmen, welches Mastercard veranstaltete. So konnte man mit dem Einsatz der Mastercard sogenannte „Coins“ sammeln und diese „Coins“ gegen Prämien eintauschen. Um die Prämien zu erwerben, meldete sich der Schnäppchenjäger an dem Portal für das Programm an. Ein halbes Jahr später erfolgte ein Hackerangriff auf das System hinter dem Programm. Einige Monate später wurde Mastercard bekannt, dass Daten von Teilnehmern des Programms von Unbekannten im Internet veröffentlicht wurden. Der Zugang zum Programm wurde sofort gesperrt. Mastercard informierte umgehend die Teilnehmer des Programms und damit auch den Schnäppchenjäger. Das Programm wurde von Mastercard eingestellt. Kurz nach der Information erhielt der Schnäppchenjäger Spam-Anrufe und Spam-SMS.

Der Schnäppchenjäger verlangte unter dem Gesichtspunkt des „Emotional Distress“ Schmerzensgeld für die Spam-Anrufe und Spam-SMS in Höhe von mindestens 2.650 Euro. Die Verbraucher seien zu spät über das Datenleck informiert worden und außerdem hätte Mastercard nicht für einen hinreichenden Schutz der Datensysteme Sorge getragen.

Mastercard argumentierte, sie hätten alle Maßnahmen getroffen, um ein hinreichendes Schutzniveau zu schaffen. Sie hätten daher das Datenleck nicht verhindern können. Ein Verstoß gegen die DSGVO läge nicht vor.

Das Landgericht lehnt einen Schmerzensgeldanspruch des Schnäppchenjägers ab. So habe er nicht schlüssig vorgetragen, dass Mastercard eine Pflichtverletzung überhaupt begangen habe. Der Umstand eines Datenlecks alleine, bedeute noch keine Pflichtverletzung.

Er hätte darlegen und beweisen müssen, dass das Datenleck auf einer Pflichtverletzung von Mastercard beruhe.

In diesem Zusammenhang geht das Gericht auf Art. 82 DSGVO näher ein.

Dieser sieht vor, dass der Verantwortliche (in diesem Fall Mastercard) von seiner Haftung befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand durch den der Schaden eingetreten ist, verantwortlich ist. In diesem Satz sieht das Gericht nur eine begrenzte Beweislastumkehr. Sie betreffe nur die Frage des Verschuldens, aber nicht die Frage der Ursache des Datenlecks. Der Schnäppchenjäger hätte daher zunächst beweisen müssen, dass das Datenleck aufgrund eines Datenschutzverstoßes verursacht wurde. Dies habe er aber nicht getan, so das Gericht. Daher konnte die Frage nach einem Verschulden gar nicht erst gestellt werden.

Daher sah das Gericht auch schon keinen Spielraum für Schmerzensgeld. Spam-Anrufe und Spam-SMS seien zwar lästig, doch es sei nicht sicher, ob der Spam auf das Datenleck zurückzuführen sei.

Fazit

Es bleibt dabei, dass derjenige, der Schmerzensgeld verlangt, beweisen muss, dass gerade ein Verstoß gegen die DSGVO zu seinem „Schmerz“ bzw. Schaden geführt hat. Der Verantwortliche muss im Zivilprozess gerade nicht beweisen, dass er sich datenschutzkonform verhalten hat. Diese Pflicht gilt allein gegenüber den Aufsichtsbehörden.