125 O 1155/24

Leitsatz: 1. Für einen Anspruch auf immateriellen Schadensersatz gem. Art. 82 I, II DSGVO aufgrund einer Cyberattacke bei der Beklagten trägt der Kläger die Beweislast für den bei ihm entstandenen Kontrollverlust über personenbezogene Daten. Dazu ist zu beweisen, dass ein Kontrollverlust nicht eingetreten wäre, wenn der Verantwortliche für die Verarbeitung personenbezogener Daten die erforderlichen technischen und organisatorischen Maßnahmen ergriffen hätte. 2. Der übereinstimmende Zeitraum von Spamnachrichten und einem Sicherheitsvorfall bei der Beklagten genügt nicht zur Annahme einer Kausalität. 3. Streitgegenständlich sind lediglich personenbezogene Daten, die klägerseits auch tatsächlich dargelegt wurden. 1. Die Klage wird abgewiesen. 2. Der Kläger hat die Kosten des Rechtsstreits zu tragen 3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar. Beschluss Der Streitwert wird auf 6.000,00 € festgesetzt. Die teilweise zulässige Klage ist unbegründet. A. Zulässigkeit Die Klageanträge sind teilweise zulässig. I. Das Landgericht Augsburg ist sachlich gem. §§ 71 I, 23 Nr. 1 GVG zuständig. Die internationale örtliche Zuständigkeit des Amtsgerichts Augsburg ergibt sich aus Art. 18 I Alt. 2 EuGVVO. Demnach können Klagen eines Verbrauchers vor dem Gericht erhoben werden, an dem der Verbraucher seinen Wohnsitz hat. Der Kläger ist Verbraucher und hat seinen Wohnsitz in …, mithin im Landgerichtsbezirk Augsburg. II. Bestimmtheitsgrundsatz 1) Der Klageantrag zu 1 ist trotz fehlender Präzisierung in persönlicher, zeitlicher und sachlicher Hinsicht aufgrund der weiten Auslegung gerade noch bestimmt genug i.S.v. § 253 II Nr. 2 ZPO. Zwar muss die Klageschrift gem. § 253 II Nr. 2 ZPO grundsätzlich neben dem Antrag auch die bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs enthalten. Zur Erfüllung dieser gesetzlichen Vorgaben kommt es aber nach der gefestigten Rechtsprechung des BGHs nicht darauf an, ob der maßgebende Lebenssachverhalt bereits in der Klageschrift vollständig beschrieben oder ob der Klageanspruch schlüssig und substanziiert dargelegt worden ist. Vielmehr ist es im Allgemeinen ausreichend, wenn der Anspruch als solcher identifizierbar ist, indem er durch seine Kennzeichnung von anderen Ansprüchen so unterschieden und abgegrenzt wird, dass er Grundlage eines der materiellen Rechtskraft fähigen Vollstreckungstitels sein kann. Es ist eindeutig, dass der Kläger immateriellen Schadensersatz begehrt. Dieser Anspruch ist auch klar von den anderen Ansprüchen abgegrenzt. Zwar wird im Antrag selbst nicht auf einen konkreten Sachverhalt eingegangen, der Kläger macht jedoch deutlich, woraus er seine begehrte Rechtsfolge ableitet, mithin als Ausgleich für Datenschutzverstöße. 2) Auch der Klageantrag zu 2 ist trotz seiner weiten Formulierung ebenfalls bestimmt genug i.S.d. § 253 II Nr. 2 ZPO. Er lässt sich unter Heranziehung des Klagevorbringens dahingehend auslegen, dass der Kläger immateriellen Schadensersatz von mindestens 2.000 EUR begehrt, für eine den in Art. 15 DSGVO gesetzlich vorgesehenen Anforderungen nicht entsprechende Datenauskunft. Auch wird unter Heranziehung des gesamten Klagevorbringens klar, dass der Kläger mit „weiterem“ immateriellen Schadensersatz, den aus dem Klageantrag zu 1 geforderten meint. Allerdings können die immateriellen Schäden aufgrund desselben Vorfalls nicht in mehrere Ansprüche aufgespalten werden. Die Geltendmachung eines Schadenersatzbetrags in Hinblick auf den Scraping Vorfall und einen weiteren Betrag in Hinblick auf eine unzureichende Auskunft stellt eine Aufspaltung eines einheitlichen Anspruches, der sich auf mehrere Datenschutzverstöße bezieht, dar. (BGH, Urteil vom 18.11.2024, VI ZR 10/24, Rn. 16). Die Ziffern 1 und 2 der klägerischen Anträge sind daher als einheitlichen Antrag zu behandeln. 3) Der Feststellungsantrag in Ziffer 3 ist zulässig, das erforderliche Feststellungsinteresse gem. § 256 Abs. 1 ZPO liegt vor. Vorliegend ist, da der Kläger die Verletzung seines Rechts auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG, mithin seines allgemeinen Persönlichkeitsrechts als einem sonstigen absolut geschützten Rechtsgut im Sinne von § 823 Abs. 1 BGB behauptet, die bloße Möglichkeit künftiger Schäden ausreichend (BGH, Urteil vom 18.11.2024, VI ZR 10/24, Rn. 46 ff). 4) Der Klageantrag zu 4 hingegen ist nicht hinreichend bestimmt. Der Kläger begehrt, dass die Beklagte es unterlasse, personenbezogene Daten der Klägerseite Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen. Dieser Unterlassungsantrag ist an den Anforderungen von § 253 II Nr. 2 ZPO gemessen, nicht hinreichend bestimmt. Ein Unterlassungsanspruch ist idR bestimmt genug, wenn auf die konkrete Verletzungshandlung Bezug genommen wird oder wenn der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, worin das Unterlassungsgebot liegen soll, also welches Verhalten Seitens des Beklagten Anknüpfungspunkt für die Annahme eines Rechtsverstoßes sein soll. Der Beklagten und dem Vollstreckungsgericht muss klar sein, was genau dem Beklagten verboten ist. Die Formulierung im Unterlassungsantrag „die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen“ ist zum einen stark an den Gesetzeswortlaut des Art. 32 I DS-GVO angelehnt, der von „unter Berücksichtigung des Stand der Technik (…) geeigneten technischen und organisatorischen Maßnahmen“ spricht. Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, sind grundsätzlich als zu unbestimmt und damit als unzulässig anzusehen (vgl. BGH GRUR 2024, 1910 Rn. 54, beck-online). Zum anderen sind Formulierungen wie „Dritte“ oder „nach den Stand der Technik mögliche Sicherheitsmaßnahmen“ auch auslegungsbedurftig und damit unzulässig. Dem Kläger wäre es durchaus zumutbar gewesen, zu konkretisieren wen er unter „Dritte“ versteht, indem er die konkrete Verletzungshandlung näher definiert. III. Der Klageantrag zu 4 enthält zudem ein unzulässiges Antragsbegehren. Vorliegend begehrt der Kläger kein Unterlassen, sondern ein aktives Tun. Unterlassen i.S.d. § 890 I ZPO ist ein untätiges Verhalten, das einen bestimmten Kausalverlauf nicht mitbestimmend beeinflusst. Hier verlangt der Kläger aber, dass die Beklagte die personenbezogenen Daten Dritten nur zugänglich macht, nachdem sie die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vornimmt. Der Kläger fordert also im Schwerpunkt ein aktives Tun, das einen Kausalverlauf in Gang setzt und nicht ein untätiges Verhalten. B. Begründetheit Die Klage ist aber, soweit sie zulässig ist, unbegründet. Denn einen relevanten Kontrollverlust kausal durch den streitgegenständlichen Vorfall konnte der Kläger nicht zur Überzeugung des Gerichts nachweisen. I. Kein Anspruch auf Zahlung von Schadensersatz für immateriellen Schaden (Anträge 1 und 2) Der Anspruch auf immateriellen Schadensersatz gem. Art. 82 I, II DSGVO ist unbegründet, denn es liegt kein kausaler Schaden, auch kein durch den Vorfall kausal verursachter Kontrollverlust, vor. Ein Anspruch aus Art. 82 I, II DSGVO setzt voraus, dass personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO von dem Verantwortlichen verarbeitet wurden, der betroffenen Person ein Schaden entstanden ist und zwischen dem Verstoß und dem Schaden ein Kausalzusammenhang besteht. 1) Die hier in Rede stehenden Daten (Anrede, Vor- und Nachname, Geschlecht, Geburtsdatum, Wohnort, E-Mail-Adresse, Handynummer, Datum der Kundenregistrierung und Vielfliegernummer) sind unzweifelhaft personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO. 2) Diese personenbezogenen Daten hat die Beklagte auch unzweifelhaft automatisiert verarbeitet i.S.v. Art. 4 Nr. 7 DSGVO. Durch die Erstellung eines Accounts wurden die Daten des Klägers automatisch erhoben, erfass und gespeichert, mithin verarbeitet. 3) Die Beklagte ist Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO. Sie wird in der Datenschutzrichtlinie, die auf der Internetseite einsehbar ist, als Verantwortliche genannt. 4) Ob die Beklagte gegen die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 I, Art. 32 I DSGVO und damit gegen Bestimmungen der DSGVO gem. Art. 82 DSGVO verstoßen hat, kann offen bleiben. Obwohl es sich bei dem für die Haftung nach Art. 82 I, II DSGVO erforderlichen Verstoß gegen die Grundsätze für die Verarbeitung personenbezogener Daten um eine anspruchsbegründende Voraussetzung des Art. 82 I DSGVO handelt, ist nicht der Kläger, sondern die Beklagte darlegungs- und beweisbelastet. Diese Beweislastumkehr folgt aus der in Art. 5 II DSGVO enthaltenen spezifischen Beweislastregelung. Art. 5 II DSGVO stellt klar, dass die Beweislast für die Rechtmäßigkeit der Datenverarbeitung beim Verantwortlichen liegt. Dies gilt nicht nur gegenüber Behörden. Auch im Zivilprozess muss die Verantwortliche den Nachweis erbringen (Ehmann/Selmayr/Heberlein, 3. Aufl. 2024, DS-GVO Art. 5 Rn. 43, beck-online). Hierfür muss konkret vorgetragen werden. Ob dies der Fall war und ob der angebotene Sachverständigenbeweis den Nachweis für ausreichende Sicherung gebracht hätte, war nicht entscheidungsrelevant, da kein kausaler Schaden nachgewiesen werden konnte. 5) Denn es steht zwar durchaus zur Überzeugung des Gerichts fest, dass der Kläger einen Kontrollverlust über seine persönlichen Daten erlitten hat, sogar echte Einschränkungen in seinem Alltag in Kauf nehmen musste. Letztere ergeben sich auch aus seiner persönlichen Anhörung am 28.11.2024. 6) Doch der Kläger hat die erforderliche Kausalität zwischen dem (hierfür unterstellten) Verarbeitungsverstoß seitens der Beklagten und dem ihm entstandenen Kontrollverlust nicht bewiesen. Das Risiko der Nichtbeweisbarkeit verbleibt beim Anspruchsteller (BGH GRUR 2024, 1910 Rn. 37, beck-online). Der Kläger konnte nicht beweisen, dass das bei der Beklagten eingetretene Datenleck vom 25. August 2022, ursächlich dafür war, dass er die Kontrolle über seine personenbezogenen Daten verloren hat. Das Datenleck bei der Beklagten steht fest. Ebenfalls steht fest, dass die Anrede, der Vor- und Nachname, das Geschlecht, das Geburtsdatum, der Wohnort, die E-Mail-Adresse, die Handynummer, das Datum der Kundenregistrierung und die Vielfliegernummer des Klägers von dem Sicherheitsvorfall betroffen waren. Zu dem Kontrollverlust hat der Kläger angeben, dass die Kontaktaufnahmen erstmals oder gehäuft vor zwei Jahren begonnen haben. Dieser Zeitraum würde mit dem des Datenlecks der Beklagten übereinstimmen. Der Kläger hat auch vorgetragen, dass er die betroffene E-Mail-Adresse nur vertrauenswürdigen Adressaten preisgibt, mithin nicht wähl- und grundlos der Öffentlichkeit zugänglich mache. Jedoch verfügt der Kläger über verschiedene persönliche Profile auf mehreren Internetplattformen wie Linkedln, Facebook und einem persönlichen Blog (Anlage B6 bzw. B7). Die vom Datenleck betroffenen Daten sind zwar auf den Plattformen Linkedln und Facebook für die Allgemeinheit wiederzufinden, jedoch musste der Kläger diese – jedenfalls zu großen Teilen – für seine Registrierungen bei den jeweiligen Anbietern angeben. Mithin hat der Kläger die vom Datenleck betroffenen personenbezogenen Daten nicht nur der Beklagten preisgegeben, sondern diese auch anderen Anbietern mitgeteilt. Personenbezogene Daten des Klägers, bereits im Jahr 2012, 2019, 2022 und 2023 Gegenstand weiterer Cyberattacken waren. Dies ergibt sich aus der von der Beklagten vorgelegten Suche bei der – von der Klageseite für glaubwürdig befundenen – Webseite https://haveibeenpwned.com (Anlage B7, bzw. B6). Die Anlage B7 bzw. B6 wurde mit der Duplik vom 27.11.2024 zwar zu spät vorgelegt. Der Kläger bestritt ihre Richtigkeit jedoch weder in der mündlichen Verhandlung, noch im nachgelassenen Schriftsatz vom 13.01.2025, sodass keine Beweisaufnahme notwendig wird und damit keine Verzögerung vorliegt. Auf der genannten Webseite wird unter anderem angegeben, im Juli 2019 sei bei MGM Resorts ein Datenleck im Cloud Service entstanden, wodurch 2020 142 Millionen Datensätze im Darknet zum Verkauf angeboten worden seien. Die betroffenen Daten seien Geburtsdaten, E-Mail-Adressen, Namen, Telefonnummern und physische Adressen. Allein hierdurch hatte der Kläger bereits 2019/2020 die Kontrolle über die oben genannten Daten, insbesondere E-Mail-Adresse und Handynummer verloren. Der Kläger konnte auch nicht mit hinreichender Sicherheit sagen, ob die Anrufe oder E-Mails einen konkreten Bezug zu der Beklagten hatten. Dies wäre beispielsweise dann der Fall, wenn sich die Absender oder Anrufer als die Beklagte ausgegeben hätten. Der Kläger konnte nicht ausreichend beweisen, dass der Kontrollverlust, sowie der Erhalt der Anrufe und Spam-Nachrichten auf den Sicherheitsvorfall der Beklagten zurückzuführen sind. Allein der übereinstimmende Zeitraum zwischen dem Sicherheitsvorfall bei der Beklagten und dem vom Kläger angegebenen Zeitraum für den Beginn der Spam-Anrufe und E-Mails genügen dem Gericht nicht, um überzeugt zu sein, dass der Kontrollverlust – selbst wenn dieser nicht mit Sicherheit nachgewiesen sein muss (vgl. BGH GRUR 2024, 1910 Rn. 32, beck-online) – aufgrund des Datenlecks entstanden ist. Mithin wurde nicht hinreichend dargelegt, dass der Kontrollverlust nicht eingetreten wäre, wenn die Beklagte die erforderlichen technischen und organisatorischen Maßnahmen ergriffen hätte. Die nicht in den früheren Kontrollverlusten angegebenen Daten, nämlich Anrede, Vielfliegernummer und Datum der Registrierung, wurden in den klägerischen Schriftsätzen nicht problematisiert. Angesichts der Tatsache, dass der Kläger seinen Account bei der Beklagten zwar nicht aufgelöst hat, deren E-Mails für ihn aber „nicht relevant“ sind und er deren App nicht nutzt und mit der Beklagten auch nicht mehr fliegt (s. Protokoll S. 4), ist hierdurch keine Schadensvertiefung zu erkennen. Das gleiche gilt zu einem – unterstellten – Verstoß gegen eine Benachrichtigungspflicht. Auch hier ist kein zusätzlicher Schaden des Klägers festzustellen. II. Kein Anspruch auf Feststellung (Antrag 3) Auch der Feststellungsantrag unbegründet, da dem Kläger der Nachweis, dass die vom Vorfall betroffenen, personenbezogenen Daten nicht bereits zuvor zugänglich waren, nicht gelang. Hinsichtlich der nicht vorher bereits bekannten Daten nämlich Anrede, Datum der Kundenregistrierung und Vielfliegernummer ist wie erörtert keine Gefahr eines Missbrauchs ersichtlich und besteht allenfalls eine theoretische Möglichkeit eines Schadens hierdurch. Diese aber ist für ein Feststellungsinteresse nicht ausreichend. III. Kein Anspruch auf Auskunftserteilung (Antrag 5) 1) Dem Kläger stand ein Anspruch auf Auskunftserteilung gem. Art. 15 DSGVO zu. 2) Dieser Anspruch ist jedoch spätestens mit Schreiben vom 17. Juni 2024 durch Erfüllung erloschen, denn das Auskunftsbegehren hat die Beklagte entgegen der Auffassung des Klägers spätestens mit Schreiben vom 17. Juni 2024 erfüllt i.S.v. § 362 I BGB. Der Kläger begehrt Auskunft darüber, welche Daten durch welche Empfänger zu welchem Zeitpunkt auf welche Art und Weise und aufgrund welcher Sicherheitslücke, soweit vorhanden, bei der Beklagten oder Partnerunternehmen, an die die Beklagte die Daten weitergeleitet hat, unbefugt erlangt werden konnten. Dieses Auskunftsrecht steht dem Kläger gem. Art. 15 I lit c. DSGVO zu. Der Auskunftsanspruch erlischt, wenn die geschuldete Leistung an den Gläubiger bewirkt wird. Bereits vor der Klageerhebung hat die Beklagte dem Kläger auf Nachfrage am 16. Februar 2024 mitgeteilt, welche personenbezogene Daten durch den Angriff am 25. August 2022 betroffen waren. Später hat die Beklagte im Rahmen der Klageerwiderung erneut alle betroffenen personenbezogenen Daten deutlich und verständlich aufgelistet (Anrede, Vor- und Nachname, Geschlecht, Geburtsdatum, Wohnort, E-Mail-Adresse, Handynummer, Datum der Kundenregistrierung und die Vielfliegernummer). Sie hat auch hervorgehoben welche Daten eben nicht betroffen waren (Ausweisnummer, Festnetznummer, vollständige Postanschrift, Staatsangehörigkeit, gesprochene Sprachen). In dem Schreiben gab die Beklagte ferner an, dass der Angriff von einer Gruppe von Personen, die sich „Ragnar Locker“ nennen stattfand und die dafür eine sog. Ransomware verwendet haben. Sie gab auch an, aufgrund welcher Sicherheitslücke die Daten erlangt werden konnten, nämlich durch eine Schnittstelle zwischen der Übermittlung personenbezogener Daten von dem …-System zu einem anderen Kundeninformationssystem. Nähere Informationen wie die genaue Identität der Personen, die sich hinter dieser Gruppe verstecken, sind der Beklagten nicht bekannt. Es ist der Beklagten auch auf Grund der besonderen Umstände nicht möglich, Informationen über den konkreten Empfänger zu erhalten und dem Kläger mitzuteilen (s. auch BGH GRUR 2024, 1910 Rn. 76, beck-online). Damit hat die Beklagte ihre Auskunftspflicht hinreichend erfüllt. IV. Keine Freistellung von Anwaltskosten (Antrag 6) Der Kläger hat entsprechend auch keinen Anspruch auf Freistellung von angefallenen Anwaltskosten. Hierfür hätte, jedenfalls im Zeitpunkt der Einschaltung des Anwalts, ein Schadensersatzanspruch des Klägers bestehen müssen oder die Beklagte hätte sich im Verzug befinden müssen. Selbst bei Unterstellung einer Pflichtverletzung der Beklagten hat nie ein Schadensersatzanspruch des Klägers bestanden, da die Kausalität zum Schaden des Klägers fehlte. Verzug hinsichtlich der Auskunftserteilung lag ebenfalls nicht vor, da der Kläger sich selbst nie an die Beklagte hinsichtlich einer Auskunft gewandt hatte. C. Kostenentscheidung Die Kostenentscheidung folgt § 91 ZPO. D. Entscheidung zur vorläufigen Vollstreckbarkeit Die Entscheidung über die vorläufige Vollstreckbarkeit ergibt sich aus 709 ZPO. E. Streitwert Die Streitwertfestsetzung basiert auf § 63 Abs. 2 S. 1 GKG. Maßgebend war zunächst gemäß § 48 Abs. 1 S. 1 GKG i.V.m. § 4 Abs. 1 Halbsatz 1 ZPO der geltend gemachte Hauptsachebetrag (1.000 + 2.000 € Mindestbetrag Schmerzensgeld). Den Wert des Feststellungsantrags in Ziffer 3 hat das Gericht gem. § 48 Abs. 1 GKG i.V.m. § 3 ZPO auf 1.000 € festgesetzt, den Wert des Unterlassungsantrags auf 1.500 €, des Auskunftsanspruchs auf 500 €. Insgesamt ergibt dies gem. § 48 Abs. 1 GKG i.V.m. § 5 ZPO einen Streitwert von bis zu 6.000 €.