Landgericht Dortmund, 6 O 277/23

Tatbestand:

Die Klägerin verfolgt Ansprüche auf Schadensersatz, Feststellung, Unterlassung, Auskunft und Freistellung von vorgerichtlichen Rechtsanwaltskosten wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung (DS-GVO) im Zusammenhang mit einem Datenleck bei der Beklagten.

Bereits vorgerichtlich machte die Klägerin die vorstehenden Ansprüche mit anwaltlichem Schreiben vom 11.07.2023 (Anl. 2 zur Klageschrift, Bl. 31 ff. d. A.) geltend.

Mit Schreiben vom 21.07.2023 teilte die Beklagte den Prozessbevollmächtigten der Klägerin mit, dass eine Auskunftserteilung nicht möglich sei, da die Daten der Klägerin gelöscht worden seien (vgl. Anl. 3 zur Klageschrift, Bl. 45 d. A.).

Die Klägerin behauptet, die Beklagte betreibe für Freizeiteinrichtungen wie zum Beispiel Zoos einen Online-Ticketshop.

Sie, die Klägerin, habe über den Online-Ticketshop der Beklagten mehrere Tickets für T1 in Ort-01 (Bestellnummer: 0000000000) erworben.

Dabei habe sie persönliche Daten eingegeben.

Die Kunden-Datenbank der Beklagten mit Daten von rund 1,9 Millionen Kunden der Beklagten sei – angeblich um einen „Anonymisierungsprozess“ zu testen – auf einen Microsoft Azure Server kopiert worden. In dieser Kundendatenbank seien sämtliche für den Erwerb der Online-Tickets von ihr, der Klägerin, zur Verfügung gestellten personenbezogenen Daten sowie der Hashwert ihres Passwortes enthalten gewesen. Aufgrund unzureichender technischer- und organisatorischer Maßnahmen bei der Beklagten sei diese Kundendatenbank im Internet für jedermann frei zugänglich abrufbar gewesen. Die Kundendatenbank der Beklagten sei im Darknet zum Verkauf angeboten worden. Später seien die Kundendatenbank der Beklagten sogar kostenfrei zum Abruf angeboten worden.

Die Klägerin ist der Ansicht, dass die Beklagte gegen mehrere Vorschriften der DSGVO verstoßen habe.

Zum einen sei der Beklagten eine Verletzung von Schutzpflichten in technisch-organisatorischer Hinsicht vorzuwerfen. Die Beklagte habe gegen Art. 5 Abs. 1 f) DSGVO, Art, 24 DSGVO und Art. 32 DSGVO verstoßen. Das Auftreten eines Datenlecks indiziere einen nicht hinreichenden Schutz von Daten. Beim Auftreten eines Datenlecks trage der Verantwortliche die Beweislast dafür, dass die ergriffenen Maßnahmen ein angemessenes Schutzniveau gewährleisten.

Zudem sei der Beklagten sowohl ein Verstoß gegen die Meldepflicht nach Art. 33 DSGVO als auch gegen die Benachrichtigungspflicht nach Art. 34 DSGVO vorzuwerfen.

Die Klägerin behauptet, ihr sei hierdurch ein kausaler Schaden entstanden. Die unbefugte Veröffentlichung ihrer Daten habe zu einem Kontrollverlust über die abgegriffenen Daten geführt. Der Kontrollverlust gehe mit einer Sorge um den Verbleib sowie um einen möglichen Missbrauch ihrer Daten einher. Diese Sorge manifestiere sich in einem verstärkten Misstrauen gegenüber E-Mails, Anrufen oder weiteren Benachrichtigungen.

Weitere künftige Schäden materieller oder immaterieller Art seien möglich. Es sei nicht ausgeschlossen, dass die Daten künftig zu kriminellen Zwecken missbraucht würden.

Auch die Gefahr einer Wiederholung des Vorfalls könne nicht ausgeschlossen werden.

Die Klägerin ist der Ansicht, die Beklagte müsse für die Verstöße einstehen. Die Beklagte sei Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.

Die Klägerin ist der Ansicht, dass der Auskunftsanspruch weiterhin fortbestehe, da dieser nicht erschöpfend gewährt worden sei. Überdies stünde ihr auch wegen der unzureichenden Auskunftserteilung ein Schadensersatzanspruch zu.

Die Klägerin beantragt,

1. die Beklagte zu verurteilen, an sie als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Erlangung persönlicher Daten einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 3.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz der EZB zu zahlen;

2. die Beklagte zu verurteilen, an sie für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz der EZB zu zahlen;

3. festzustellen, dass die Beklagte verpflichtet ist, ihr alle materiellen künftigen Schäden zu ersetzen, die ihr durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten entstanden sind und/oder noch entstehen werden;

4. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft, oder einer an ihrem Vertreter zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten von ihr Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen;

5. die Beklagte zu verurteilen, ihr Auskunft über personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, insbesondere welche Daten durch welche Empfänger zu welchem Zeitpunkt auf welche Art und Weise und aufgrund welcher Sicherheitslücke, soweit vorhanden, bei der Beklagten oder Partnerunternehmen, an die die Beklagte die Daten weitergeleitet hat, unbefugt erlangt werden konnten;

6. die Beklagte zu verurteilen, sie von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 1.054,10 EUR freizustellen.

Die Beklagte beantragt,

die Klage abzuweisen.

Sie rügt die örtliche Zuständigkeit des Landgerichts Dortmund.

Die Beklagte bestreitet, dass sie einen Online-Ticketshop betreibe. Richtig sei vielmehr, dass die in den Niederlanden beheimatete D1-Gruppe IT-Systeme entwickelt habe, welche den Online-Verkauf von Tickets unterstütze. Die Softwarelösungen der D1-Gruppe würden typischerweise in die von ihren Kunden betriebenen Online-Shops integriert. Die Kunden seien Einrichtungen, wie z. B. Zoos oder Museen. Die Kunden der D1-Gruppe würden ihrerseits mit den Endkunden Verträge über den Eintritt schließen.

Sie, die Beklagte, betreibe keine IT-Systeme für Kunden der D1-Gruppe.

Ihre Aufgabe sei es, Verträge über die Leistungen der niederländischen D1-Gruppe auf dem deutschen Markt zu akquirieren. Sie diene dem Zweck, für die Kunden des deutschen Marktes einen inländischen Vertragspartner bereitzustellen.

Die Beklagte bestreitet den streitgegenständlichen Erwerb der Eintrittskarten mit Nichtwissen.

Überdies sei das Vorbringen der Klägerin insoweit auch nicht hinreichend. Es fehle gänzlich Vortrag dazu, welche Daten die klägerische Partei dem Kunden der Beklagten oder sogar unmittelbar der Beklagten anlässlich des behaupteten Kaufs offenbart haben will.

Richtig sei, dass es im Jahr 2020 einen IT-Sicherheitsvorfall in Bezug auf die von den Unternehmen der D1-Gruppe betriebenen IT-Systeme gegeben habe. Dabei seien die vorhandenen Schutzmaßnahmen von Hackern überwunden worden; Daten seien von den Hackern gestohlen worden. Es fehle jedoch an Vortrag der Klägerin, welche Daten, insb. welche Daten der Klägerin, hiervon betroffen gewesen sein sollen.

Die Beklagte ist der Ansicht, dass die Klägerin gegen sie keinen Anspruch auf Schadensersatz habe.

Der Anwendungsbereich der DSGVO sei bereits nicht eröffnet. Die streitgegenständlichen Daten seien für sie, die Beklagte, keine personenbezogenen Daten gewesen.

Überdies fehle es an einem Verstoß der Beklagten gegen die DSGVO.

Zudem sei die Beklagte nicht als „Verantwortliche“ i.S.v. Art. 4 Nr. 7 DS-GVO tätig gewesen. Verantwortliche sei vielmehr die Einrichtung, bei der die Klägerin die Tickets erworben habe.

Weiter fehle es an der Darlegung eines konkreten Schadens.

Jedenfalls beruhe der behauptete Schaden nicht auf dem streitgegenständlichen Sicherheitsvorfall. Vielmehr ergebe sich aus der Anlage DB1, dass die Klägerin offenbar (auch) von Datenlecks auf anderen Webseiten betroffen gewesen sei.

Die Beklagte ist der Ansicht, dass sie hinsichtlich des Auskunftsbegehrens der Klägerin schon nicht passivlegitimiert sei. Überdies sei der Anspruch gem. Art. 12 Abs. 5 S. 2 b) DSGVO ausgeschlossen. Zudem sei das Auskunftsverlangen der Klägerin mit der erteilten „negativen“ Auskunft bereits erfüllt.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die von den Parteien zur Gerichtsakte gereichten Schriftsätze nebst Anlagen sowie auf das Sitzungsprotokoll zur mündlichen Verhandlung vom 03.07.2024 Bezug genommen.

Entscheidungsgründe:

Die Klage ist mit Ausnahme des Klageantrags zu 3) zulässig aber unbegründet.

Der Klageantrag zu 3) ist unzulässig.

Es fehlt insoweit an dem erforderlichen Feststellungsinteresse.

Für Schäden, die aus der behaupteten Verletzung des allgemeinen Persönlichkeitsrechts, also eines sonstigen absolut geschützten Rechtsguts im Sinne von § 823 Abs. 1 BGB, resultieren, reicht zwar für die Annahme eines Feststellungsinteresses die bloße Möglichkeit materieller oder weiterer immaterieller Schäden aus (vgl. OLG Hamm, Beschluss vom 21.12.2023 – 7 U 137/23).

Die Frage der Möglichkeit eines Schadenseintritts ist aber nicht abstrakt, sondern aus der Sicht des konkret Geschädigten in verständigter Würdigung zu beurteilen (vgl. OLG Hamm, Beschluss vom 21.12.2023 – 7 U 137/23).

Bei Zugrundelegung dieser Maßstäbe hat die Klägerin nicht hinreichend konkret dargelegt, dass die Möglichkeit eines weiteren Schadenseintritts besteht.

Das abstrakte Vorbringen der Klägerseite, künftige Schäden könnten nicht ausgeschlossen werden, da nicht absehbar sei, ob die Daten der Klägerin künftig für kriminelle Zwecke missbraucht würden, genügt mangels konkreten Bezugs zu dem vorliegenden Fall nicht, um ein Feststellungsinteresse zu begründen. Hinzu kommt, dass die Wahrscheinlichkeit eines Schadenseintritts mit zunehmender Distanz zum Datenschutzvorfall, welcher sich bereits im Jahr 2020 ereignete, abnimmt (vgl. OLG Dresden (4. Zivilsenat), Urteil vom 30.01.2024 – 4 U 1168/23).

Im Übrigen ist die Klage zulässig.

Das Landgericht Dortmund ist zuständig. Die internationale Zuständigkeit folgt aus Art. 82 Abs. 6 DSGVO i. V. m. Art. 79 Abs. 2 S. 2 DSGVO, die örtliche Zuständigkeit aus § 44 Abs. 1 S. 2 BDSG.

Es ist davon auszugehen, dass die Klägerin an der in dem Rubrum der Klageschrift angegebenen Adresse ihren Wohnsitz hat. Weiter ist zu vermuten, dass es sich hierbei um ihren gewöhnlichen Aufenthaltsort handelt.

Die Frage, ob die Klägerin „betroffen“ im Sinne der vorstehenden Vorschrift ist, kann für die Frage der Zuständigkeit dahinstehen bleiben, da es sich bei dem Tatbestandsmerkmal der Betroffenheit um eine doppelrelevante Tatsache handelt, dessen Vorliegen erst im Rahmen der Begründetheit zu prüfen ist.

II.

Die Klage ist, soweit sie nicht bereits unzulässig ist, unbegründet.

Der Klägerin steht der mit dem Klageantrag zu 1) verfolgte immaterielle Schadensersatzanspruch nebst Zinsen nicht zu.

Die Klägerin hat keinen Anspruch auf den mit dem Klageantrag zu 1) verfolgten immateriellen Schadensersatzanspruch.

Der Anspruch der Klägerin folgt insbesondere nicht aus § 82 Abs. 1 DSGVO.

(1)

Die Klägerin hat schon nicht schlüssig dargelegt, dass der Anwendungsbereich der DSGVO eröffnet ist.

Nach Art. 2 Abs. 1 DSGVO gilt die Verordnung (nur) für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Mangels Vortrag der Klägerin, welche Daten von ihr im Rahmen des Kaufvertragsschlusses angegeben worden sind, ist nicht nachvollziehbar, ob es sich bei den streitgegenständlichen Daten überhaupt um personenbezogene Daten i. S. d. Art. 2 Abs. 1 DSGVO handelt.

(2)

Im Übrigen ist der Vortrag der Klägerin, wonach die Beklagte Schutzpflichten in technischer bzw. organisatorischer Hinsicht nach Art. 5 Abs. 1 f), 32 DSGVO verletzt habe, nicht hinreichend substantiiert.

Die Darlegungs- und Beweislast für einen solchen Verstoß gegen die DSGVO trägt die Klägerin.

Dabei verkennt das Gericht nicht, dass nach dem Urteil des EuGH vom 14.12.2023 zum Az. C-340/21 im Rahmen einer auf Art. 82 DSGVO gestützten Schadensersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.

Die Klägerin hat jedoch nicht nachvollziehbar dargelegt, dass die Beklagte Verantwortliche i. S. d. Art. 4 Nr. 7 DSGVO ist. Der Begriff „Verantwortlicher“ bezeichnet nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dass die Beklagte hier über die Zwecke und Mittel der Verarbeitung der beim Buchungsprozess einzugebenden Daten entschieden hat, wird von der Klägerseite nicht nachvollziehbar dargelegt. Vielmehr ist davon auszugehen, dass die Beklagte lediglich das von der D1-Gruppe entwickelte IT-Systeme für die Verarbeitung der Daten zur Verfügung stellt, sodass die Beklagte lediglich als Auftragsverarbeiterin i. S. d. Art. 4 Nr. 8 DSGVO zu qualifizieren ist.

Eine entsprechende Anwendung der Entscheidung des EuGH auf die Auftragsverarbeiterin kommt nicht in Betracht. Der EuGH begründet die den Verantwortlichen treffende Beweislast mit dem in Art. 5 Abs. 2 VO (EU) 2016/679 formulierten und in Art. 24 dieser Verordnung konkretisierten Grundsatz der Rechenschaftspflicht des Verantwortlichen. Eine solche Rechenschaftspflicht sieht die DSGVO jedoch nicht für den Auftragsverarbeiter vor.

(3)

Soweit die Klägerin ihren Schadensersatzanspruch auf eine Verletzung der Meldepflicht nach Art. 33 DSGVO sowie eine Verletzung der Benachrichtigungspflicht nach Art. 34 DSGVO stützt, so ist die Beklagte jedenfalls nicht passivlegitimiert. Sowohl die Verpflichtung aus Art. 33 Abs. 1 S. 1 DSGVO als auch die Verpflichtung aus Art. 34 DSVOG trifft lediglich den Verantwortlichen i. S. d. Art. 4 Nr. 7 DSGVO. Dass die Beklagte Verantwortliche in diesem Sinne ist, hat die Klägerin nicht dargetan. Insoweit wird auf die obigen Ausführungen Bezug genommen.

(4)

Zuletzt hat die Klägerin auch nicht hinreichend substantiiert dargelegt, dass ihr durch den behaupteten Verstoß gegen die DSGVO ein kausaler Schaden entstanden ist.

Es oblag der Klägerin, einen über die behaupteten Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen/psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlusts darzulegen (OLG Hamm (7. Zivilsenat), Urteil vom 15.08.2023 – 7 U 19/23).

Der von der Klägerin angeführte Kontrollverlust für sich genommen rechtfertigt einen Ersatzanspruch nicht. Denn dieses Risiko folgt notwendig aus dem ungewünschten Datenverlust.

Der Vortrag der Klägerseite zu einem erlittenen Schaden muss konkret und individuell sein. Auf formelhaft und in einer Vielzahl von Verfahren gleichlautend vorgetragene Ängste und Sorgen kann nicht abgestellt werden.

Diesen Anforderungen genügt das klägerische Vorbringen nicht. Die Ausführungen der Klägerseite beschränken sich auf floskelhafte Behauptungen. Der für einen substantiierten Vortrag erforderliche Bezug zu der konkret klagenden Partei fehlt gänzlich. Angesichts des nicht ansatzweise substantiierten Vorbringens zum Schaden bestand auch keine Veranlassung dafür, die Klägerin im Verhandlungstermin persönlich anzuhören.

Jedenfalls hat die insoweit darlegungs- und beweisbelastete Klägerin die erforderliche Kausalität zwischen dem behaupteten Verstoß gegen die DSGVO und dem vermeintlichen Schaden nicht dargelegt und bewiesen. Dies insbesondere im Hinblick darauf, dass sich dem als Anlage 1 zur Klageschrift zur Gerichtsakte gereichtem sog. Betroffenheitsnachweis (vgl. Bl. 29 d. A.) entnehmen lässt, dass die Klägerin auch von Datenlecks auf anderen Webseiten betroffen gewesen ist.

Der mit dem Klageantrag zu 1) verfolgte Zinsanspruch teilt als Nebenforderung das Schicksal der Hauptforderung.

Der Klägerin steht auch der mit dem Klageantrag zu 2) verfolgte immaterielle Schadensersatzanspruch nebst Zinsen nicht zu.

Die Klägerin hat keinen Anspruch auf den mit dem Klageantrag zu 2) verfolgten immateriellen Schadensersatzanspruch.

Ein solcher Anspruch folgt insbesondere nicht aus 82 Abs. 1 DSGVO.

Es fehlt bereits an einem Verstoß der Beklagten gegen Art. 15 Abs. 1 DSGVO. Denn die aus Art. 15 I DSGVO resultierende Verpflichtung zur Auskunftserteilung trifft lediglich den Verantwortlichen. Die Beklagte ist jedoch nicht als Verantwortliche in diesem Sinne zu qualifizieren. Insoweit wird Bezug genommen auf die obigen Ausführungen.

Der mit dem Klageantrag zu 2) verfolgte Zinsanspruch teilt als Nebenforderung das Schicksal der Hauptforderung.

Die Klägerin steht auch der mit dem Klageantrag zu 4) verfolgte Unterlassungsanspruch nicht zu.

Ein solcher Anspruch scheitert bereits daran, dass die Klägerin einen Verstoß der Beklagten gegen die DSGVO nicht hinreichend nachvollziehbar dargelegt hat.

Die Klägerin hat keinen Anspruch auf die mit dem Klageantrag zu 5) begehrte Auskunft.

Insoweit wird auf die Ausführungen zum Klageantrag zu 2) Bezug genommen.

Der Klägerin steht der mit dem Klageantrag zu 6) geltend gemachte Anspruch auf Freistellung von vorgerichtlichen Rechtsanwaltskosten in Höhe von 1.054,10 € nicht zu. Der Anspruch teilt als Nebenforderung das rechtliche Schicksal der Hauptforderung.

100

Die prozessualen Nebenentscheidungen beruhen auf §§ 91 Abs. 1, 708 Nr. 11 Alt. 2, 711 S. 1, S. 2, 709 S. 2 ZPO.

101

Der Streitwert für den Rechtsstreit wird auf 6.500,00 € festgesetzt, wovon ein Betrag in Höhe von 3.000,00 € auf den Klageantrag zu 1), in Höhe von 2.000,00 € auf den Klageantrag zu 2) und jeweils 500,00 € auf den Klageantrag zu 3) bis 5) entfällt.