Urteil : Kein DS‑GVO-Schadenersatz, wenn E-Mail-Adresse bereits Teil eines früheren Datenleaks war : aus der RDV 3/2025, Seite 159 bis 161

a) Es kann offenbleiben, ob die Beklagte gegen ihre Verpflichtung verstoßen hat, ausreichende geeignete technische und organisatorische Maßnahmen zu treffen, um die personenbezogenen Daten gegen unbefugte Zugriffe Dritter zu schützen, Art. 24, 32 DS-GVO. Die Beklagte hat zu den von ihr ergriffenen Maßnahmen ausreichend substanziiert vorgetragen. Hierzu hat die Klagepartei nichts Konkretes vorgebracht.

Offenbleiben kann ebenfalls, ob die Beklagte ihre Benachrichtigungspflicht aus Art.  34 DS-GVO gegenüber der Klagepartei, aus Art. 33 DS-GVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DS-GVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich (vgl. hierzu auch OLG Hamm, Urt. v. 15.08.2023 – 7 U 19/23, Rn 147 – juris, so jetzt auch BGH, Urt. v. 18.11.2024 – VI ZR 10/24 – juris). Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen Anrufe sowie Spam SMS und Spam E-Mails können nur auf dem Datenschutzvorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein.

Anhaltspunkte dafür, dass die Beklagte die Daten der Klagepartei ohne ausreichende Einwilligung verarbeitet hat, sind nicht substanziiert dargelegt.

b) Ein kausaler immaterieller Schaden ist weder in Form eines Kontrollverlustes noch im Form einer konkret in der Person der Klagepartei begründeten Befürchtung, ihre Daten könnten missbraucht werden, eingetreten.

Eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, muss nachweisen, dass diese Folgen einen immateriellen Schaden i.S.v. Art. 82 DS-GVO darstellen (vgl. EuGH Urt. v. 14.12.2023 – C-340/21, Rn 84; vgl. EuGH, Urt. v. 20.06.2024 – C – 590/22, Rn 34, 36 – juris). Wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist aber gleichwohl zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH, Urt. v. 14.12.2023 – C – 340/21, Rn 85 – juris).

Nach der Rechtsprechung des Bundesgerichtshofes (vgl. Urt. v. 18.11.2024 – VI ZR – 10/24 – juris) kann auch der bloße Kontrollverlust einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung zum Nachteil dieser Person erfolgt sein sollte. Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – d.h. in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (vgl. EuGH, Urt. v. 20.06.2024 – C-590/22 – juris; vgl. BGH a.a.O.).

Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (vgl. BGH, Urt. v. 18.11.2024 – VI ZR – 10/24 – juris). Ein Schaden in Form eines Kontrollverlustes sowie in Form einer in der konkreten Person der Klagepartei begründete Befürchtung, dass seine Daten von Dritten missbräuchlich verwendet werden, liegt hier aber schon deshalb nicht vor, weil die E-Mail-Adresse der Klagepartei bereits sieben malvor dem Datenschutzvorfall im Juni 2020 von Datenschutzvorfällen betroffen war. Ausweislich dem von der Klagepartei vorgelegten Ausdruck aus der Webseite www.haveibeenpwnd.com (Anlage K1) war die E-Mail-Adresse (u.a. neben Benutzernamen, Passwörtern) der Klagepartei im Jahr 2008 (MySpace), im März 2012 (Last.fm), im Juni 2014 (MangaTraders), Ende 2015 (Nihonomaru), im Juni 2017 (Stracks) und Mitte 2019 (LiveJournal) von Datenschutzvorfällen betroffen. Zwar steht das Risiko, dass auch Dritte das Datum nicht datenschutzkonform verarbeitet haben der Darlegung eines Kontrollverlustes nicht entgegen (vgl. BGH, Urt. v. 18.11.2024 – VI ZR 10/24 a.a.O.). Dies gilt jedoch nur, solange sich dieses nicht unstreitig vor dem Eintritt des Datenschutzvorfalls verwirklicht hat (vgl. BGH, Urt. v. 18.11.2024 – VI ZR 10/24 a.a.O.). Im vorliegenden Fall hat die Klagepartei die Kontrolle über ihre E-Mail-Adresse schon viele Jahre vor dem Datenschutzvorfall durch insgesamt sieben andere Datenschutzvorfälle verloren.

Unter diesen Umständen kann auch ohne Anhörung der Klagepartei nicht angenommen werden, dass ihre Befürchtung, ihre E-Mail-Adresse könne missbräuchlich verwendet werden, konkret auf den Datenschutzvorfall im Juni 2020 bei der Beklagten zurückzuführen ist. Denn im Hinblick auf die bereits zwischen 2008 und 2019 eingetretenen Kontrollverluste, ist nicht plausibel, dass die Befürchtung des Missbrauches der Daten durch den Datenschutzvorfall im Juni 2020 ausgelöst worden sein soll.

2. Da es an einem kausalen Schaden fehlt, steht ihr auch kein Anspruch auf Feststellung einer weiteren Ersatzpflicht zu. Der Feststellungsantrag ist nicht begründet.

3. Der Unterlassungsantrag Ziffer 4 ist zu unbestimmt und daher nicht zulässig.

Ein Klageantrag ist hinreichend bestimmt (§  253 Abs.  2 Nr.  2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§  322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem Unterlassungsantrag regelmäßig der Fall, wenn die konkret angegriffene Verletzungsform antragsgegenständlich ist (vgl. BGH; Urt. v. 09.03.2021 – VI ZR 73/20, Rn 15 – juris).

Der Antrag hat indes keinen vollstreckungsfähigen Inhalt. Die Begriffe „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen“ sind zu unbestimmt und nicht vollstreckbar (so auch BGH, Urt. v. 18.11.2024, VI ZR 10/24 – juris). Der Formulierung lässt sich nicht entnehmen, welche konkreten Maßnahmen die Beklagte ergreifen soll (vgl. LG Köln, Urt. v. 24.05.2023, Rn 46 – juris). Sie beschränkt sich nicht auf die Wiedergabe des gesetzlichen Verbotstatbestandes Art. 32 Abs. 1 DS-GVO, sondern greift aus den dort genannten, zur Gewährleistung eines angemessenen Schutzniveaus zu berücksichtigenden Umständen (Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen) isoliert den Stand der Technik heraus. Es ist aus dem Antrag bei dieser Fassung nicht hinreichend ersichtlich, welche Maßnahmen konkret gefordert werden. Ohne eine solche Konkretisierung ist für die Beklagte aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde (vgl. LG Lübeck, Urt. v. 25.05.2023 – 15 O 74/22, Rn 59 – juris). Darüber hinaus wäre für das Vollstreckungsgericht – auch und insbesondere angesichts des unbestimmten Standes der Technik – nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Beklagten veranlasst werden müssten (vgl. LG Lübeck a.a.O.). Schließlich steht zwischen den Parteien im Streit, welche Maßnahmen dem Stand der Technik entsprechen. Die auslegungsbedürftige Antragsformulierung lässt sich auch nicht durch Auslegung unter Heranziehung des Vortrags der Klagepartei eindeutig präzisieren. Eine Zwangsvollstreckung wäre nicht möglich.

4. Der Klagepartei steht kein Anspruch auf Auskunft nach Art. 15 DS-GVO zu, denn der Anspruch ist erfüllt worden, § 362 BGB.

Nach Art. 15 Abs. 1 DS-GVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Gemäß Art. 15 Abs. 3 S. 1 DS-GVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung (vgl. OLG Hamm, Urt. v. 15.08.2023 – 7 U 19/23, Rn 244 ff. – juris). Erfüllt im Sinne des §  362 Abs.  1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH Urt. v. 15.06.2021 – VI ZR 576/19, – juris).

Die Beklagte hat mit E-Mail vom 21.07.2020 (Anlage B 4) Auskunft erteilt. Sie hat mitgeteilt, dass es zu einem Datenschutzvorfall gekommen ist und welche Daten davon betroffen sein können. Soweit die Klagepartei weitergehend Auskunft darüber verlangt, welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten erlangt werden konnten, steht ihrem Anspruch § 275 Abs. 1 BGB entgegen. Insofern weist die Beklagte unwidersprochen darauf hin, dass ihr die Identitäten der Dritten nicht bekannt seien, weswegen ihr eine Auskunftserteilung unmöglich ist. Zu einer weitergehenden Auskunft war sie angesichts dessen nicht verpflichtet. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht. Es muss vielmehr im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Grundsatzes der Verhältnismäßigkeit gegen andere Grundrechte abgewogen werden (ErwG 4 DS-GVO). Insbesondere ist es unter bestimmten Umständen nicht möglich, Informationen über konkrete Empfänger zu erteilen. Daher kann das Auskunftsrecht beschränkt werden, wenn es nicht möglich ist, die Identität der konkreten Empfänger mitzuteilen. Dies gilt insbesondere, wenn die Empfänger noch nicht bekannt sind (vgl. EuGH, Urt. v. 12.01.2023 – C-154/21, NJW 2023, 973 Rn. 47 f. – RW/Österreichische Post AG; BGH, Urt. v. 18.11.2024 – VI ZR 10/24).

Im Anschluss hieran kommt auch kein an die Verletzung einer Auskunftspflicht anknüpfender weiterer immaterieller Schadenersatz in Betracht, ohne dass es insofern darauf ankäme, ob die Verletzung einer Auskunftspflicht aus Art. 15 DS-GVO tauglicher Anknüpfungspunkt für einen Anspruch aus Art. 82 DS-GVO sein kann (vgl. zum Streitstand BSG, Urt. v. 24.09.2024 – B 7 AS 15/23 R –, juris).