211 C 578/22

Leitsatz: Es verstößt nicht gegen § 32 Abs. 1 DSGVO, wenn der Anbieter eines Kundenbindungsprogramms keine Zwei-Faktor-Authentifizierung vornimmt. (Rn. 41 – 47) (redaktioneller Leitsatz) 1. Die Klage wird abgewiesen. 2. Der Kläger hat die Kosten des Rechtsstreits zu tragen. 3. Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Vollstreckung der Beklagten durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des zu vollstreckenden Betrags leistet. 4. Der Streitwert wird auf 4.626,38 € festgesetzt. Die zulässige Klage ist unbegründet. I. Die Klage ist zulässig. Insbesondere ist das Amtsgericht München gemäß §§ 23 Nr. 1, 71 GVG sachlich und gemäß §§ 12, 17 ZPO örtlich zuständig. II. Die Klage ist unbegründet. 1. Der Kläger hat gegen die Beklagte keinen Anspruch auf Gutschrift von 12.638 Deutschland-Card Punkten auf sein bei der Beklagten geführtes DC Konto. Die Beklagte trägt vor, dass sie die streitgegenständlichen DC Punkte aus Kulanz vor Klageeinreichung zurückgebucht habe (Schriftsatz vom 23.06.2022, S. 2 = Bl. 121 d.A.) und dass der Kläger Zugriff auf sein Konto mit den Punkten habe (Schriftsatz vom 23.06.2022, S. 2 f. = Bl. 121/122 d.A.; Schriftsatz vom 18.07.2022, S. 2 = 132 d.A.). Beides wird vom Kläger bestritten (zuletzt Schriftsatz vom 12.07.2022 = Bl. 129 d.A.). Ob Erfüllung eingetreten ist oder nicht, kann dahinstehen. Auf eine Beweiserhebung kommt es insoweit nicht an, da ein Anspruch auf die Gutschrift nicht besteht. a) Ein entsprechender Anspruch ergibt sich nicht aus § 675 u S. 2 BGB. Nach § 675 u Satz 1 BGB hat der Zahlungsdienstleister des Zahlers im Falle eines nicht autorisierten Zahlungsvorgangs gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Gemäß Satz 2 ist der Zahlungsdienstleister verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag seinem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Voraussetzung für einen entsprechenden Anspruch des Klägers gegen die Beklagte wäre, dass der Beklagte Zahlungsdienstleister des Klägers ist. Dies ist vorliegend nicht gegeben. Der Kläger behauptet zwar pauschal, dass zwischen der Beklagten und dem Kläger ein Zahlungsdienstrahmenvertrag über E-Geld nach den §§ 675 c Abs. 2, 675f Abs. 2 BGB durch die Teilnahme des Klägers am DC Programm abgeschlossen worden sei. Dies ist jedoch ausweislich der Teilnahmebedingungen für das DC Programm nicht der Fall, wonach der Kunde lediglich Guthaben bei den teilnehmenden Unternehmen erwirbt, die dem Kunden als DC Kunde von DC Partnerunternehmen in Form von DC Punkten gutgeschrieben werden (Nr. 1.1 der Teilnahmebedingungen). Es liegt damit lediglich eine Verwaltung der DC Punkte vor. Für den Begriff des Zahlungsdienstleisters wird an die zugrundeliegende Normen des ZAG zurückgegriffen (Casper in MüKo, 8. Aufl. 2020, § 675 c BGB, Rn. 37 ff.). Dessen Voraussetzungen sind nicht erfüllt (s. sogleich unter c)). b) Ein entsprechender Anspruch des Klägers ergibt sich auch nicht aus § 675 m Abs. 1 S. 1 BGB in Verbindung mit § 280 Abs. 1 BGB. § 675 m legt die Pflichten eines Zahlungsdienstleisters fest. Der Beklagte ist jedoch kein Zahlungsdienstleister des Klägers. c) Ein solcher Anspruch ergibt sich auch nicht aus § 823 Abs. 2 BGB in Verbindung mit §§ 55 Abs. 1 Nr. 2 In Verbindung mit § 1 S. 2 Nr. 5 ZAG. Es kann insoweit dahinstehen, ob es sich bei der Vorschrift des § 55 Abs. 1 ZAG um ein Schutzgesetz im Sinne des § 823 Abs. 2 BGB handelt, da die Beklagte nach dem Tatsachenvortrag der Parteien kein Zahlungsdienstleister im Sinne des § 55 ZAG ist. § 55 Abs. 1 ZAG verpflichtet den Zahlungsdienstleister, eine starke Kundenauthentifizierung zu verlangen. Zahlungsdienstleister sind gemäß § 1 Abs. 1 Nr. 2 ZAG E-Geldinstitute im Sinne des Abs. 2 Satz 1 Nr. 1, die im Inland zum Geschäftsbetrieb nach diesem Gesetz zugelassen sind, sofern sie Zahlungsdienste erbringen. Gemäß § 1 Abs. 2 Satz 1 Nr. 1 ZAG sind E-Geldemittenten Unternehmen, die das E-Geldgeschäft betreiben, ohne E-Geldemittenten im Sinne der Nummern 2-4 zu sein. Gemäß § 1 Abs. 2 Satz 2 ZAG ist das E-Geldgeschäft die Ausgabe von E-Geld. „Ausgabe“ von E-Geld ist die Eingehung der Verpflichtung der E-Geld ausgebenden Stelle zur Leistung gegenüber dem Berechtigten bzw. demjenigen, der E-Geld als Zahlungsmittel akzeptiert (Schwennike/Auerbach KWG mit ZAG, 4. Aufl., § 1 ZAG, Rn. 99). Entgegen der Behauptung des Klägers gibt die Beklagte kein E-Geld heraus. Die Beklagte ist ausweislich der Teilnahmebedingungen zum DC Kundenprogramm keine entsprechende Verpflichtung eingegangen. Sie ist lediglich die Betreiberin des Programms. Ausweislich der Teilnahmebedingungen für das DC Programm verwaltet die Beklagte Rabatte und andere Guthaben, die dem Kunden als DC Kunde von den DC Partnerunternehmen in Form von DC Punkten gutgeschrieben werden. Die Verwaltung von E-Geld wird von § 1 Abs. 2 Satz 2 ZAG nicht erfasst (Schwennicke/Auerbach, KWG mit ZAG, 4. Aufl., § 1 Rn. 98). Damit ist die Beklagte nicht Zahlungsdienstleister im Sinne des § 55 Abs. 1 ZAG. Etwas anderes ergibt sich auch nicht daraus, dass die Beklagte die DC zur Abwicklung (z.B. Sammeln und Einlösen von Punkten) herausgegebenen hat. Darüber hinaus handelt es sich bei den DC Punkten nicht um E-Geld. E-Geld ist nach § 1 Abs. 2 S. 3 ZAG jeder elektronisch, darunter auch magnetisch, gespeicherte monetäre Wert in Form einer Forderung an den Emittenten, der gegen Zahlung eines Geldbetrags ausgestellt wird, um damit Zahlungsvorgänge im Sinne des § 675 f Abs. 4 Satz 1 BGB durchzuführen und der auch von anderen natürlichen oder juristischen Personen als dem Emittenten angenommen wird. Voraussetzung ist damit, dass die Zahlungseinheiten gegen Zahlung eines Geldbetrages bereitgestellt werden. Die Zahlung eines Geldbetrags erfordert damit eine Gegenleistung des Berechtigten in Form von Bar- oder Buchgeld vor Ausgabe der Zahlungseinheiten. Bei elektronisch gespeicherten Bonuspunkten eines Rabattsystems, die ohne Gegenleistung gewährt werden, liegt kein E-Geld vor. Dies ist vorliegend der Fall. Ein DC Kunde zahlt für zu erwerbende Waren oder Dienstleistungen den gleichen Endpreis, wie Kunden, die das Programm der Beklagten nicht nutzen. Damit erhält der Kunde die Bonuspunkte ohne Gegenleistung. Soweit der Kläger behauptet, dass davon ausgegangen werden könne, dass die Partner der Beklagten für die Gewährung der Punkte ein Entgelt zu zahlen haben, wird der Kläger auf die Teilnahmebedingungen für das DC Programm verwiesen, die Beklagte Rabatte und andere Guthaben verwaltet, die dem Kunden als DC Kunde von den Deutschland-Card Partnerunternehmen in Form von DC Punkten gutgeschrieben werden. Danach erwerben die Partnerunternehmen der Beklagten keine Punkte gegen Entgelt von der Beklagten, sondern gewähren ihrerseits den Kunden die Rabattpunkte, die von der Beklagten lediglich verwaltet werden. Soweit der Kläger vorträgt, dass die Partnerunternehmen und die Beklagte durch das DC Programm als Gegenleistung Daten über das Kaufverhalten der Kunden erlangen, stellt dies keine unmittelbare Gegenleistung zu den einzelnen DC Punkten dar, die der Unentgeltlichkeit Entgegenstehen. d) Ein solcher Anspruch folgt auch nicht aus §§ 823 Abs. 2 BGB In Verbindung mit 55 Abs. 1 S. 1, 2 ZAG. Das soeben Gesagte gilt insoweit entsprechend. Die Beklagte ist kein Zahlungsdienstleister. 2. Der Kläger hat gegen die Beklagte keinen Anspruch auf Zahlung von immateriellem Schadensersatz in Höhe von 4.500,00 € aus Art. 82 Abs. 1 DSGVO in Verbindung mit 32 Abs. 1 DSGVO. a) Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Zwischen den Parteien ist strittig, ob die Beklagte gegen die Datenschutzgrundverordnung verstoßen hat. Der Kläger trägt nach den allgemeinen zivilprozessualen Grundsätzen die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen (mwN Paulus in: BeckOK, Datenschutzrecht, 37. Ed., Art. 82 DSGVO, Rn. 51; LG München I, Urt. v. 9.12.2021 - 31 O 16606/20; zu weitgehend LAG Baden-Württemberg, Urt. v. 25.02.2021 - 17 Sa 37/20, Rz. 99, die dort angeführte Rechenschaftspflicht bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde). Aus Art. 82 Abs. 3 DSGVO ergibt sich lediglich hinsichtlich des Verschuldens eine Beweislastumkehr. Damit trägt der Kläger die Darlegungs- und Beweislast hinsichtlich eines Verstoßes der Beklagten gegen die Datenschutzgrundverordnung und eines daraus kausal entstandenen Schadens. b) Der Kläger behauptet, dass die Beklagte die gemäß § 32 Abs. 1 DSGVO erforderlichen Maßnahmen hinsichtlich des Zugangs des Klägers zu dem Kundenkonto nicht getroffen habe. Der Kläger macht geltend, dass eine Zwei-Faktor-Authentifizierung Stand der Technik gewesen sei. Er bezieht sich in der Klageschrift zunächst darauf, dass es sich bei dem Kundenkonto um E-Geld handeln würde. Das vom Kläger vorgelegte Privatgutachten (Anlage K13 zum Schriftsatz vom 08.06.2022) stellt hinsichtlich der Zwei-Faktor-Authentifizierung ebenfalls auf das Vorliegen eines E-Geld-Kontos ab. Die Beklagte ist jedoch kein Zahlungsdienstleister. Der Kläger hat nicht ausreichend dargelegt, dass die Zwei-Faktor-Authentifizierung auch bei bloßen Kundenbindungsprogrammen Stand der Technik ist und die vorliegende Authentifizierung beim Programm der Beklagten diesen nicht erfüllt. Danach sind zwar die einzelnen zum Kunden-Login erforderlichen Informationen teilweise nicht geheim, sondern gegenüber einzelnen Vertragspartnern anzugeben oder im näheren Umfeld des Kunden bekannt. Für die Kombination der verschiedenen Merkmale beim Login wurde dies aber nicht vorgetragen. Auch hat die Beklagte ein dokumentiertes Informationssicherheits-Managementsystem im Unternehmen umgesetzt und unterliegt einer regelmäßigen Auditierung durch unabhängige Dritte. Dies erfolgt am ISO-Standard 27001 und den Sicherheitslinien des Bundesamtes für Sicherheit in der Informationstechnik. Zudem hat die Beklagte ein sogenanntes Security Information and Event Management zur Überwachung implementiert. Ein Verstoß hiergegen wurde seitens des Klägers nicht vorgetragen. Darüber hinaus ist der Stand der Technik nur ein Gesichtspunkt in der von § 32 Abs. 1 und Abs. 2 DSGVO vorgeschrieben Abwägung. Danach sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Umstände für die Gesamtabwägung aller genannten Faktoren, die danach gegen ein angemessenes Schutzniveau sprechen, werden von dem Kläger nicht vorgetragen. Ein Verstoß gegen Art. 32 DSGVO liegt danach nicht vor. Aus Art. 32 DSGVO folgt kein Anspruch auf eine Zwei-Faktor-Authentifizierung im vorliegenden Fall. c) Der Kläger macht insbesondere geltend, dass die von der Beklagten vorgegebenen Regelungen zum Passwort unzureichend seien und nicht dem Stand der Technik entsprechen würden. Die Einlog-Modalitäten sehen vor, dass Kunden sich mit der Eingabe der Kartennummer in Verbindung mit der Angabe des Geburtsdatums und der Postleitzahl in das Kundenkonto einloggen können oder mit der Eingabe der Kartennummer und einer vierstelligen PIN, die aus einer vierstelligen Zahlenkombination besteht. Der Kläger führt aus, dass als Stand der Technik eine Mindestlänge von 10 Zeichen anzusehen sei und eine Einschränkung der verwendbaren Zeichen nicht zum Stand der Technik gehöre. Insoweit übersieht die Argumentation, dass darüber hinaus auch die Kartennummer als zusätzliche Anforderung erforderlich ist. Ein etwaiger Verstoß der Beklagten gegen Art. 32 DSGVO - wie hier nicht - wäre jedenfalls auch nicht kausal für den behaupteten Punkteklau. Nach Vortrag der Beklagten in der Klageerwiderung (S. 9 f.) ist es technisch zwingen notwendig für die Einlösung der DC Punkte in einen Warengutschein für Netto, die Netto-App zu nutzen und diese mit dem Deutschland-Card-Konto zu verbinden. Eine Möglichkeit Netto-Gutscheine im Prämienshop der Beklagten mit Punkten zu erwerben besteht nicht (Anlage B6 zum Schriftsatz vom 23.06.2022). Auf diese Netto-App hat die Beklagte keinen Einfluss. Inwieweit durch die Verknüpfung des Programms der Beklagten mit der App ein Verstoß gegen Art. 32 DSGVO vorliegen soll, hat der darlegungs- und beweisbelastete Kläger nickt substantiiert vorgetragen. Es liegt damit kein Verstoß der Beklagten gegen Art. 32 DSGVO vor. 3. Da die geltend gemachten Hauptforderungen nicht bestehen, hat der Kläger gegen die Beklagte auch keinen Anspruch auf Zahlung von vorgerichtlichen Anwaltskosten. III. Die Kostenentscheidung folgt aus § 91 Abs. 1 S. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit aus §§ 709 Nr. 11, 711 ZPO.