Nachdem wir schon öfters über das Bonusprogramm von Mastercard berichtet haben, geht es im vorliegenden Urteil des OLG Stuttgart um dieselbe Fallkonstellation: Der Inhaber einer Mastercard nimmt am Bonusprogramm von Mastercard teil, durch einen Hackerangriff auf das Programm wurden Daten des Inhabers abgegriffen und im Internet veröffentlicht.

Das Gericht beleuchtet allerdings zwei weitere Aspekte in diesem Urteil. Es geht einmal um die Frage, welche formellen Anforderungen ein Auskunftsanspruch erfüllen muss und ob Vermutungen ausreichen können, um einen Datenschutzverstoß zu belegen.

Ein Original ist ein Original, ist ein Original…

Der Kläger hat hier nicht persönlich ein Auskunftsrecht gegenüber Mastercard geltend gemacht, sondern ließ sich bei der Antragsstellung anwaltlich vertreten. Der Vertreter legte dabei aber keine Originalvollmacht vor, sondern eine elektronisch signierte. Diese Vollmacht wies Mastercard zurück und verweigerte die Auskunft.

Das Gericht führte dazu aus, dass die DSGVO die Auskunftspflicht des Verantwortlichen an einen Auskunftsantrag anknüpft, der von der betreffenden Person gestellt wird. Zwar könne der Betroffene einen Dritten bevollmächtigen, allerdings müsse die Vollmacht zum Zeitpunkt des Auskunftsverlangens vorliegen und gegenüber dem Verantwortlichen nachzuweisen sein. In diesem Zusammenhang verweist das Gericht auf § 174 BGB, wonach die Originalvollmacht vorgelegt werden muss, wenn der Verantwortliche das Rechtsgeschäft zurückweist. Hier habe Mastercard den Antrag auf Auskunft sofort mit der Begründung zurückgewiesen, dass eine Originalvollmacht nicht vorliegt. Das Gericht ließ auch die Vorlage einer elektronisch erfolgten Signatur einer Vollmacht nicht gelten. Eine elektronische Form könne eine Urkunde von Gesetzes wegen nicht ersetzen.

Vermutungen ersetzen keine Beweise

Das Gericht lässt auch keine Anhaltspunkte oder schlüssige Vorträge für einen Datenschutzverstoß genügen, sondern fordert eindeutige Beweise. Das Gericht stützt sich dabei auf das nationale Prozessrecht, da die DSGVO kein Beweisrecht enthalte. Es verweist auch darauf, dass die bestreitende Partei einer Behauptung verpflichtet ist, Nachforschungen zu betreiben, um Behauptungen zu entkräften. Mastercard musste sich also durchaus mit den Vermutungen auseinandersetzen.

Der Kläger hatte vorgetragen, dass er einen Datenschutzverstoß vermute, da keine geeignete Maßnahmen nach Art. 32 DSGVO vorlägen. Zur Untermauerung dieser Behauptung verwies er zum einen auf einen Zeugen, der Mastercard bereits früher auf eine Sicherheitslücke aufmerksam gemacht habe und zum anderen auf den Hessischen Beauftragte für Datenschutz, der „Sicherheitsprobleme“ als Ursache des Datendiebstahls bezeichnete.

Damit sei aber noch kein Verstoß gegen Art. 32 DSGVO erwiesen, so das Gericht. Das Gericht war nicht überzeugt, dass die Beklagte nicht alle erforderlichen Sicherheitsvorkehrungen eingehalten habe, zumal nie jeder Hackerangriff sicher ausgeschlossen werden könne. Zur Behauptung hatte Mastercard nämlich vorgetragen, den Standard ISO 27001:2017 als auch den PCI DSS-Standard eingehalten zu haben.

Damit wären die Behauptungen des Klägers durch Vortrag der Beklagten entkräftet und der Kläger sei seiner Darlegungs- und Beweislast nicht nachgekommen

Wie das Landgericht Frankfurt oder das Landgericht Karlsruhe verwies das Gericht darauf, dass zunächst ein Verstoß gegen die DSGVO bewiesen sein muss. Dann hätte Mastercard darlegen müssen, dass er für einen Verstoß keine Schuld trage. Da der Datenschutzverstoß aber nicht bewiesen war, war schon die Anspruchsgrundlage aus Art. 82 DSGVO für Schadensersatz bzw. Schmerzensgeld nicht gegeben.

Fazit

Ein Bevollmächtigter sollte darauf vorbereitet sein, dass ein Antrag zurückgewiesen und das Original gefordert wird. Umgekehrt müssen Unternehmen einen Antrag nicht bearbeiten, wenn eine Originalvollmacht nicht vorliegt. Sie sind aber verpflichtet, den Antrag unter Hinweis auf die fehlende Originalvollmacht sofort zurückzuweisen.

Außerdem bleibt es Aufgabe des Klägers auf Schadensersatz bzw. Schmerzensgeld zu beweisen, dass ein Datenschutzverstoß begangen wurde. Zumindest müssen stichhaltige Indizien vorliegen, die von der Gegenseite nicht entkräftet werden können. Also auch das Unternehmen ist gut beraten, technische und organisatorische Maßnahmen zur Datensicherheit umzusetzen und zu dokumentieren, bestenfalls zu zertifizieren um Behauptungen entkräften zu können.

Eine Revision zum BGH wurde zugelassen. Insofern wird es auch noch interessant sein, wie der BGH diesen Fall beurteilt. Außerdem hat das Bundesverfassungsgericht wegen der Frage, ob ein Datenschutzverstoß für ein begründetes Schmerzensgeld erheblich sein muss, die Vorlage vor dem EuGH verfügt. In dem Themenkomplex ist viel Musik drin.