DSGVO: Nur 350 € Schadensersatz statt geforderter 3.000 € nach Datenleck auf Musik-Streaming Plattform

Der Begriff der Beteiligung an einer rechtswidrigen Datenverarbeitung nach der DSGVO setzt nicht zwingend voraus, dass der Verantwortliche selbst an dem letztlich schadensauslösenden Vorgang direkt mitgewirkt hat. Befindet sich lediglich ein Spitzname sowie die E-Mail-Adresse der betroffenen Person in dem gestohlenen Datenpaket und ist es (bislang) nicht zu einer konkreten Vermögensgefährdung oder -schädigung gekommen, ist ein immaterieller Schadensersatz von 350 € angemessen.

Der Sachverhalt:
Bei der Klagepartei handelt es sich um einen Verbraucher. Die Beklagte betreibt in Europa die Musik-Streaming Plattform „Deezer“. Zu einem zwischen den Parteien umstrittenen Zeitpunkt war es bei einem Dienstleister der Beklagten zu einem erfolgreichen Datenzugriff unbefugter Dritter gekommen, bei dem von den Tätern ein zuvor von der Beklagten übermittelter Kundendatensatz der Beklagten aus dem Jahr 2019 erlangt werden konnte. Die Täter machten den Vorfall am 6.11.2022 öffentlich bekannt und boten die Datensätze der Beklagten im Darknet zum Verkauf an. Am 10.11.2022 meldete die Beklagte den Vorfall bei der französischen Aufsichtsbehörde (Commission Nationale de l’Informatique et des Libertés - CNIL). Am 11.11.2022 informierte sie ihre Kunden auf ihrer Homepage. Die Daten waren zwischenzeitlich auch kostenlos abrufbar.

Anfang 2023 informierte die Beklagte individuell betroffenen Nutzern per E-Mail. Darin riet sie ihnen insbesondere, ihre Passwörter als vorbeugende Sicherheitsmaßnahme zu ändern und die aktuellen Sicherheitsempfehlungen der Behörden zu beachten. Nachdem die Klagepartei von dem Datenleck Kenntnis erlangt hatte, versandten die zwischenzeitlich mandatierten Prozessbevollmächtigten an die Beklagte ein anwaltliches Schreiben vom 26.6.2023, mit dem sie u.a. Schadensersatz i.H.v. mind. 3.000 € von der Beklagten forderten. Die Beklagte behauptete, die von ihr bereits vor dem Vorfall implementierten technischen und organisatorischen Schutzmaßnahmen seien ausreichend gewesen, um die gesetzlich erforderliche Datensicherheit zu gewährleisten.

Das LG gab der Klage i.H.v. 350 € statt. Im Übrigen hat es die Klage abgewiesen.

Die Gründe:
Der Klägerseite steht gegen die Beklagte ein Anspruch auf Zahlung von immateriellen Schadensersatz gem. Art. 82 Abs. 1 DSGVO wegen Datenschutzverstößen im Zusammenhang mit dem unstreitigen Datenschutzvorfall bei der Unterauftragnehmerin der Klägerseite, zu.

Wenn ein Kläger in einem Verfahren nach Art. 82 DSGVO nach einem Datenleck vorträgt, welche seiner Daten auf welcher konkreten Seite im Internet oder Darknet veröffentlicht wurden, darf die Beklagte dies jedenfalls dann nicht mit Nichtwissen bestreiten, wenn es sich bei dieser um ein weltweit tätiges Unternehmen handelt, der es ganz offenkundig technisch unproblematisch möglich ist, die entsprechenden Informationen zu überprüfen. Fehlt es zwischen einem Auftragsverarbeiter und einem Unterauftragsverarbeiter an dem nach Art. 28 DSGVO erforderlichen Vertrag und gibt der Verantwortliche dennoch personenbezogene Daten an den Unterauftragsverarbeiter heraus, so ist diese Übermittlung der Daten rechtswidrig und stellt einen Verstoß gegen die DSGVO dar, der bei Vorliegen der weiteren Voraussetzungen des Art. 82 DSGVO Schadensersatzansprüche begründen kann.

Der Begriff der Beteiligung an einer rechtswidrigen Datenverarbeitung nach der DSGVO setzt nicht zwingend voraus, dass der Verantwortliche selbst an dem letztlich schadensauslösenden Vorgang direkt mitgewirkt hat. Vielmehr genügt es, wenn er im Sinne einer conditio sine qua non an der Vorgangsreihe beteiligt war, die letztlich die schädigende Handlung ermöglicht hat. Hieraus folgt, dass auch ein Verantwortlicher, der rechtmäßig Daten an einen Dritten weitergibt, an der weiteren, auch weisungswidrigen Verarbeitung dieser Daten durch den Dritten weiterhin „beteiligt“ im Sinne der Verordnung ist.

Eine Exkulpation nach Art. 82 Abs. 3 DSGVO setzt wiederum voraus, dass der Verantwortliche auch der Entlastungsbeweis für den eigenen Verursachungsbeitrag gelingt, mit dem er in der Verarbeitungskette noch beteiligt war. Liegt dieser Verursachungsbeitrag in der rechtswidrigen Herausgabe der Daten an einen Unterauftragsverarbeiter, setzt dies voraus, dass hierauf bezogen kein Vertretenmüssen vorliegt. Erfolgte die Herausgabe in fahrlässiger Weise, haftet damit der Verantwortliche auch dann, wenn er an dem unmittelbar schadensauslösenden Vorgang nicht selbst mitgewirkt hat.

Ein Schaden i.S.v. Art. 82 DSGVO liegt vor, wenn die Klägerseite nachweisen kann, dass sie aufgrund des Vorfalls Ängste und Sorgen erlitten hat. Eine Bagatellgrenze kennt Art. 82 DSGVO insoweit nicht. Eine Ausnahme ist allenfalls dann zu machen, wenn sich das Risiko weiterer rechtswidriger Datenweitergaben als rein hypothetisch darstellt. Ein Schaden i.S.v. Art. 82 DSGVO liegt daneben auch in der Veröffentlichung der streitgegenständlichen Daten der Klägerseite im Darknet. Die hierin liegende Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung stellt einen eigenständigen Schaden nach Art. 82 DSGVO dar.

Die Höhe des Schadensersatzes beziffert das Gericht mit 350 €, wobei es diesen Betrag für angemessen, aber auch für ausreichend hält, um den immateriellen Schaden auszugleichen und gleichzeitig der erforderlichen Abschreckungswirkung Rechnung zu tragen sowie dabei die besonderen Umstände des Falles zu würdigen. Dem Gericht steht insoweit gem. § 287 ZPO ein Ermessen zu. Im vorliegenden Fall war insbesondere zu berücksichtigen, dass in dem Datenpaket der Klägerseite unstreitig nicht ihr richtiger Name, sondern ein Spitzname enthalten war. Lediglich die E-Mail-Adresse sowie Geschlecht ließen einen Schluss auf die Klägerseite zu. Ebenfalls ist es (bislang) nicht zu einer konkreten Vermögensgefährdung oder -schädigung gekommen.

Mehr zum Thema:

Beratermodul Datenschutzrecht
Das weitgreifende Komplettangebot zum deutschen und europäischen Datenschutzrecht deckt die DSGVO, das TTDSG und das BDSG ab. Mit Top-Inhalten aus den Verlagen Dr. Otto Schmidt und C.F. Müller. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!

Beratermodul IT-Recht
Die perfekte Online-Ausstattung für das IT-Recht: Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!