Man hört es immer wieder und immer häufiger: Datenlecks, bei denen Daten einer Vielzahl von Personen missbraucht werden. Die Daten sind Gegenstand von unerlaubten Veröffentlichungen und führen zu Identitätsdiebstählen, Kreditkartenmissbräuchen und Spam. Ob dadurch allerdings per se einen Schadensersatzpflicht anzunehmen ist, ist fraglich.
In einem vor dem Landgericht Frankfurt am Main verhandelten Fall ging es um genau so einen Fall. Bei einem Betreiber einer Plattform, der dort ein Bonusprogramm für die Nutzung einer Kreditkarte führte, kam es zu einem Datenleck.
Sachverhalt zum Fall
In dem konkreten Fall kam es zu zu einem Missbrauch der Plattform (Datenleck), wodurch personenbezogene Daten von etwa 90.000 Teilnehmern Gegenstand eines Datendiebstahls bzw. einer unberechtigten Veröffentlichung waren.
Nach Bekanntwerden des Datenlecks sperrte der Plattformbetreiber die Website unmittelbar und informierte die betroffenen Personen, u.a. auch den Kläger in diesem Verfahren. Unmittelbar nach dem Vorfall erhielt der Kläger mehrere Spam-Anrufe und Spam-SMS auf seinem ausschließlich zu Dienstzwecken genutzten Handy. Vor diesem Vorfall hatte der Beklagte keinerlei Spam auf seinem Handy erhalten.
Mit der Klage verfolgte der Kläger gegen den Plattformbetreiber seine bereits außergerichtlich geltend gemachten Ansprüche auf Auskunft und Schadensersatz.
Datenleck = Haftung des Plattformbetreibers?
Das Landgericht Frankfurt a.M. hielt Schadensersatzansprüche für unbegründet. Der Kläger habe nicht schlüssig dargelegt, dass der Plattformbetreiber eine Pflichtverletzung begangen hat. Eine solche Pflichtverletzung ist allerdings Grundvoraussetzung für den Schadensersatzanspruch nach Art. 82 DSGVO.
Allein der Vortrag des Klägers, dass es zu einem Datenleck auf der Plattform der Beklagten (Plattformbetreiber) kam, begründet noch keine Pflichtverletzung dieser. Der Kläger müsse eine solche vielmehr darlegen und auch beweisen.
Das Gericht sieht in Art. 82 Abs. 3 DSGVO auch keine Erleichterung bzw. Beweislastumkehr. Diese gilt über Art. 82 Abs. 2 DSGVO schließlich nur für die Frage nach dem Verschulden. Umfasst von der Beweislastumkehr ist allerdings nicht die Frage nach der Ursache des Datenlecks. Dafür ist stets der Betroffene darlegungs- und beweispflichtig.
Im Ergebnis fehlt es konkret daran, dass der Kläger des Verfahrens nicht beweisen konnte, dass das Datenleck auf einer Pflichtverletzung des Plattformbetreibers beruht. Bei den meisten Fällen der aktuellen und künftigen Datenlecks wird es unserer Auffassung nach exakt auf diesen Umstand ankommen. Kann nachgewiesen werden, dass dem Plattformbetreiber eine Pflichtverletzung (beispielsweise durch die nicht ausreichende Sicherung der Datenbank) vorzuwerfen ist, können Schadensersatzansprüche nach Art. 82 DSGVO geltend gemacht werden.