Nach der DSGVO dürfen Kunden von Onlinehändlern Auskunft zu den über sie verarbeiteten Daten verlangen.Die Händler sind bei so einem Ersuchen zur Übermittlung einer ausführlichen Dokumentation verpflichtet. Hierfür genügt allerdings ein Link, der zu den gespeicherten Daten führt. Die entschied das Landgericht München I mit Urteil vom 2.9.2021 (Az. 23 O 10931/20). Die DSGVO-Auskunft kann demnach per Link erteilt werden.
Auskunftsersuchen nach der DSGVO
Die beklagte Partei war in diesem Fall Betreiberin einer Onlineplattform und eines sozialen Netzwerkes. Der Kläger war ein Rechtsanwalt, der bei der Beklagten ein Kundenkonto angelegt und hierfür die E-Mail-Adresse seiner Kanzlei genutzt hatte.
Der Kläger forderte die Beklagten zur Auskunft über die Daten auf, die bei ihr über ihn verarbeitet worden waren. Die Beklagte sandte daraufhin dem Kläger URL-Links zu, die zu sämtlichen gespeicherten Daten des Nutzerkontos führten.
Dies genügte dem Kläger nicht, er begehrte daher Schadensersatz. Nach seiner Auffassung waren die Links unbrauchbar, weil sie „page not found“ anzeigten. Er vermutete möglicherweise eine Verschleierungsabsicht der Beklagten und warf ihr eine Datenschutzverletzung vor.
Anlass der nachfolgenden Klage war für den Kläger vorrangig, dass es bei der Beklagten offenkundig ein Datenleck gegeben hatte, denn ihm war seine E-Mail-Adresse gestohlen worden.
Im Rahmen des Rechtsstreits vor dem LG München I trug die Beklagte vor, dass sie mit den betreffenden URL-Links ihren Auskunftspflichten nach DSGVO ausreichend nachgekommen war. Es handle sich um ein übliches Auskunftssystem, das die DSGVO sogar explizit vorsehe. Ein mögliches Datenleck stritt die Beklagte ab.
Die Zusendung von Links genügt den Anforderungen der DSGVO
Die Richter am Landgericht München I wiesen die Klage ab. Zur Begründung hieß es, dass die Beklagte nicht gegen die DSGVO-Vorschriften verstoßen habe. Auch habe der Kläger keinen ersatzfähigen Schaden darlegen können.
Eine ordnungsgemäße Auskunft per Link erlauben Artikel 15 DSGVO und der Erwägungsgrund 63 Seite 4. Dass die Links nicht funktionierten, konnten die Richter nicht nachvollziehen. Die Beklagte hatte Screenshots vorgelegt, die ihre Seiten beim Aufruf der betreffenden Links zeigten. Das Gericht hatte sich zusätzlich selbst von der Funktionstüchtigkeit der Links überzeugt.
Damit war die Beklagte den DSGVO-Voraussetzungen nachgekommen, die zum Auskunftsrecht ausführen, dass es genügt, wenn Auskunftsberechtigte Zugang zu einem sicheren System erhalten, das die Daten führt. Dieser Zugang könne nach DSGVO auch per Link bereitgestellt werden.
Einen ersatzfähigen Schaden wegen eines vermuteten Datenlecks konnten die Richter ebenfalls nicht erkennen. Es ist zwar nach Artikel 82 DSGVO ein Schadensersatz für immaterielle Schäden durch solche Datenlecks möglich, so Schäden durch Identitätsdiebstahl, Rufschädigung oder Verlust der Vertraulichkeit. Jedoch könne man im möglichen Abgreifen der E-Mail-Adresse einer Rechtsanwaltskanzlei einen solchen Schaden nicht erkennen, denn diese Adresse läge ohnehin offen. Das Abgreifen etwaiger vertraulicher Daten, so beispielsweise von Mandantendaten, konnte der Kläger hingegen nicht belegen.
Fazit
Eine Auskunftserteilung per Link genügt nach DSGVO. Schäden durch Datenlecks müssen nachweisbar sein, um Schadensersatz zu fordern.
