Titel:
Sicherheitsanforderungen bei Kundenbindungsprogrammen
Normenketten:
BGB § 675u
DSGVO Art. 32, Art. 82 Abs. 1
Leitsatz:
Es verstößt nicht gegen § 32 Abs. 1 DSGVO, wenn der Anbieter eines Kundenbindungsprogramms keine Zwei-Faktor-Authentifizierung vornimmt. (Rn. 41 – 47) (redaktioneller Leitsatz)
Schlagwort:
Datenverarbeitung
Fundstellen:
GRUR-RS 2022, 28431
ZD 2023, 111
LSK 2022, 28431
Tenor
1. Die Klage wird abgewiesen.
2. Der Kläger hat die Kosten des Rechtsstreits zu tragen.
3. Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Vollstreckung der Beklagten durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des zu vollstreckenden Betrags leistet.
4. Der Streitwert wird auf 4.626,38 € festgesetzt.
Tatbestand
1
Der Kläger begehrt von der Beklagten Rückübertragung von DC Punkten und Schadensersatz wegen Verstoßes gegen die DSGVO und das ZAG.
2
Bei dem Kundenbindungsprogramm DC Punkte handelt es sich um ein Multipartner-Kundenbindungsprogramm. Das Bonusprogramm ist kostenlos. Die teilnehmenden DC Nutzer haben die Möglichkeit, für ihre Einkäufe bei Partnerunternehmen sogenannte DC Punkte zu sammeln. Die DC Partnerunternehmen gewähren den Kunden, welche ihre Waren oder Dienstleistungen erwerben und dabei das DC Programm nutzen, Rabatte in Form von geldwerten DC Punkten. Die Beklagte ist Betreibergesellschaft des Programms.
3
Jeder DC Nutzer erhält eine DC Karte zum Sammeln von DC Punkten in den Geschäften teilnehmender Partnerunternehmen. Hierfür wird die DC Karte beim Bezahlen an der Kasse gescannt und das Partnerunternehmen schreibt dem Kunden die für den jeweiligen Kauf gewährten DC Punkte automatisch gut. Bei Bestellungen, die online erfolgen, werden die Punkte bei Eingabe der Deutschland-Card Kundennummer im Rahmen des Bestellprozesses gesammelt. Wie viele DC Punkte ein DC Nutzer bei einem konkreten Einkauf als Rabatt erhält, entscheiden die DC Partnerunternehmen individuell. Jeder von einem Partnerunternehmen gewährte DC Punkt hat einen Geldwert von einem Cent. DC Punkte können u.a. in Prämien eingetauscht, oder in Gutscheine eingetauscht werden.
4
Jeder DC Nutzer kann sein DC Konto online verwalten und dort seine persönlichen Daten sowie die gesammelten und eingelösten DC Punkte einsehen. Bei den einzusehenden persönlichen Daten der Nutzer handelt es sich um: Anrede, Titel, Vor- und Nachname, Postanschrift, E-Mail-Adresse, Telefon- und/oder Mobilfunknummer sowie das Geburtsdatum. Bezüglich der Einkäufe können Nutzer sehen, bei welchem DC Partnerunternehmen sie wann wie viele Punkte erhalten bzw. eingelöst haben.
5
Der Kläger ist Kunde der Beklagten mit der Kundennummer 184 142 2027.
6
In den Teilnahmebedingungen für das DC Programm ist u.a. folgendes geregelt:
1. Beschreibung des Programms DC
7
1.1. Das Programm DC ermöglicht es Ihnen, bei allen angeschlossenen Partnerunternehmen DC Punkte insbesondere auf den Bezug von Sach- oder Dienstleistungen zu sammeln und diese auf unterschiedliche Weise (z.B. Prämien) wieder einzulösen. Die Teilnahme ist kostenlos …
5. Sammeln oder Gutschrift der DC Punkte
8
5.1 gegen Vorlage einer DC Karte oder Angabe der Kartennummer können Sie oder der Mitsammler bei unseren Partnern Guthaben in Form von DC Punkten sammeln.
9
Der Kläger konnte sich mit der Eingabe der Kartennummer in Verbindung mit der Angabe des Geburtsdatums und der Postleitzahl in sein Kundenkonto einloggen, Alternativ konnte er sich mit der Eingabe der Kartennummer und einer vierstelligen PINs verifizieren. Die PIN besteht hierbei immer aus einer vierstelligen Zahlenkombination.
10
Die Beklagte setzte ein dokumentiertes Informationssicherheit-Managementsystem um. Der Betrieb des Rechenzentrums wurde regelmäßig durch unabhängige Dritte auditiert.
11
Am 05.09.2021 wurden 12.638 DC Punkte des Klägers in einen Netto-Warengutschein umgewandelt. Betroffen war das Punktekonto der Klagepartei mit der Kartennummer..., welches zwischenzeitlich von der Beklagten gesperrt wurde. Es wurde in der Netto-App einen Netto-Gutschein generiert. Am streitgegenständlichen Tag fanden bei der Beklagten keine dokumentierten Cyberattacken oder Datenschutzvorfälle statt.
12
Der Kläger behauptet, die am 05.09.2021 für die Erstellung der Gutscheine eingelösten 12.638 DC Punkte seien unbefugt von Dritten eingelöst worden. Der Kläger habe seine Zugangsdaten zu keiner Zeit Dritten zur Verfügung gestellt und er selbst habe am 05.09.2021 keine DC Punkte online gegen einen Netto waren Gutschein eingelöst. Auch sonst habe er die Zahlungsanweisung nicht autorisiert.
13
Der Kläger ist der Ansicht, dass er Ansprüche auf Rückübertragung der DC habe gemäß § 675 u S. 2 BGB und §§ 675 m S. 1, 2810 Abs. 1 BGB. Die Beklagte sei insoweit Zahlungsdienstleister im Sinne der Norm. Ferner bestehe ein solcher Anspruch gemäß § 823 Abs. 2 BGB in Verbindung mit §§ 55 Abs. 1 Nr. 2 in Verbindung mit 1 S. 2 Nr. 5 ZAG. Der Kläger macht hierzu geltend, dass es sich bei § 55 Abs. 1 ZAG um ein Schutzgesetz im Sinne des § 823 Abs. 1 BGB handele. Bei der Ausgabe der DC Kundenkarte handele es sich um die Ausgabe von Zahlungsinstrumenten im Sinne von § 1 S. 22 Nr. 5 ZAG. Der Kläger macht geltend, dass es sich bei den DC Punkten der Beklagten um E-Geld handele. Deshalb sei die Beklagte verpflichtet, eine Zwei-Faktor-Authentifizierung zu verlangen. Der DC Kunde erhalte die DC Punkte nicht unentgeltlich. Der jeweilige Kunde erhalte beim Bezahlvorgang von dem Händler einen Skonto in Höhe der erzielten Bonuspunkte. Anstatt den Skontobetrag vom Kaufpreis abzuziehen, weise der Kunde den Händler an, ihm den überschießenden Betrag als Punkte-Gutschrift auszuzahlen. Die Punkte würden von der Beklagten emittiert und für die Kunden verwaltet.
14
Eine Verletzung des Datenschutzes durch die Beklagte sei auch darin zu sehen, dass die Beklagte die Mindestanforderungen an eine starke Kundenauthentifizierung vernachlässige. Die Beklagte habe sich bei der Auswahl und dem Einsatz der personalisierte Sicherheitsmerkmale für die Implementierung eines nur einfachen Berechtigungssystems entschieden, welches hinter den Sicherheitsstandards von auf dem aktuellen Stand der Technik befindlichen Systemen zurückbleibe. Der Kläger habe dadurch die Kontrolle über seine personenbezogenen Daten verloren. Der Kläger macht geltend, dass die von der Beklagten gestellten Mindestanforderungen an das vom Kunden zu wählende Passwort ungeeignet seien. Als Stand der Technik sei eine Mindestlänge von 10 Zeichen anzusetzen. Eine Einschränkung der verwendbaren Zeichen auf Zahlen gehöre nicht zum Stand der Technik. Die bisherigen Sicherheitsvorkehrungen der Beklagten seien nicht geeignet gewesen, ein dem Stand der Technik entsprechendes Schutzniveau zu gewährleisten. Daher bestehe ein Anspruch auf Schadensersatz gemäß Art. 82 Abs. 1 DSGVO.
1. Die Beklagte wird verurteilt, der Klagepartei 12.638 Deutschland Card Punkte, mit einem Gegenwert in Höhe von € 126,38 auf ihres bei der Beklagten geführte Konto mit der Kartennummer ... zu übertragen.
2. Die Beklagte zu wird verurteilt, an die Klagepartei einen Betrag in Höhe von mindestens € 4.500,00 nebst Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen.
3. Die Beklagte wird verurteilt, der Klagepartei ihre Kosten für die außergerichtliche Vertretung in Höhe von € 818,72 zu bezahlen.
16
Die Beklagte beantragt:
17
Die Beklagte behauptet, dass es sich bei der technischen Verarbeitung von Daten an gängigen und anerkannten Sicherheitsrichtlinien orientiere, die das Bundesamt für Sicherheit in der Informationstechnik vorgäbe. Der Netto-Gutschein sei nicht eingelöst worden. Die Beklagte trägt ferner vor, dass die abgebuchten Punkte dem Kläger am 07.10.2021 gutgeschrieben worden seien.
18
Bei dem DC Kundenbindungsprogramm handele es sich nicht um E-Geld. Eine starke Kundenauthentifizierung in Form einer Zweifaktorauthentifizierung müsse daher nicht implementiert werden.
19
Die Beklagte gewähre für das DC Kunden-Login-Konto ein angemessenes technisches und organisatorisches Schutzniveau im Sinne von Art. 32 Abs. 1 DSGVO.
20
Die Beklagte macht geltend, dass weder das ZAG noch § 675 ff. BGB im vorliegenden Fall anwendbar seien.
21
Zur Ergänzung des Tatbestands wird auf sämtliche Schriftsätze der Parteien nebst Anlagen, sowie auf das Protokoll der mündlichen Verhandlung vom 30.06.2022 Bezug genommen.
Entscheidungsgründe
22
Die zulässige Klage ist unbegründet.
23
I. Die Klage ist zulässig. Insbesondere ist das Amtsgericht München gemäß §§ 23 Nr. 1, 71 GVG sachlich und gemäß §§ 12, 17 ZPO örtlich zuständig.
24
II. Die Klage ist unbegründet.
25
1. Der Kläger hat gegen die Beklagte keinen Anspruch auf Gutschrift von 12.638 Deutschland-Card Punkten auf sein bei der Beklagten geführtes DC Konto.
26
Die Beklagte trägt vor, dass sie die streitgegenständlichen DC Punkte aus Kulanz vor Klageeinreichung zurückgebucht habe (Schriftsatz vom 23.06.2022, S. 2 = Bl. 121 d.A.) und dass der Kläger Zugriff auf sein Konto mit den Punkten habe (Schriftsatz vom 23.06.2022, S. 2 f. = Bl. 121/122 d.A.; Schriftsatz vom 18.07.2022, S. 2 = 132 d.A.). Beides wird vom Kläger bestritten (zuletzt Schriftsatz vom 12.07.2022 = Bl. 129 d.A.). Ob Erfüllung eingetreten ist oder nicht, kann dahinstehen. Auf eine Beweiserhebung kommt es insoweit nicht an, da ein Anspruch auf die Gutschrift nicht besteht.
27
a) Ein entsprechender Anspruch ergibt sich nicht aus § 675 u S. 2 BGB.
28
Nach § 675 u Satz 1 BGB hat der Zahlungsdienstleister des Zahlers im Falle eines nicht autorisierten Zahlungsvorgangs gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Gemäß Satz 2 ist der Zahlungsdienstleister verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag seinem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
29
Voraussetzung für einen entsprechenden Anspruch des Klägers gegen die Beklagte wäre, dass der Beklagte Zahlungsdienstleister des Klägers ist. Dies ist vorliegend nicht gegeben. Der Kläger behauptet zwar pauschal, dass zwischen der Beklagten und dem Kläger ein Zahlungsdienstrahmenvertrag über E-Geld nach den §§ 675 c Abs. 2, 675f Abs. 2 BGB durch die Teilnahme des Klägers am DC Programm abgeschlossen worden sei. Dies ist jedoch ausweislich der Teilnahmebedingungen für das DC Programm nicht der Fall, wonach der Kunde lediglich Guthaben bei den teilnehmenden Unternehmen erwirbt, die dem Kunden als DC Kunde von DC Partnerunternehmen in Form von DC Punkten gutgeschrieben werden (Nr. 1.1 der Teilnahmebedingungen). Es liegt damit lediglich eine Verwaltung der DC Punkte vor. Für den Begriff des Zahlungsdienstleisters wird an die zugrundeliegende Normen des ZAG zurückgegriffen (Casper in MüKo, 8. Aufl. 2020, § 675 c BGB, Rn. 37 ff.). Dessen Voraussetzungen sind nicht erfüllt (s. sogleich unter c)).
30
b) Ein entsprechender Anspruch des Klägers ergibt sich auch nicht aus § 675 m Abs. 1 S. 1 BGB in Verbindung mit § 280 Abs. 1 BGB.
31
§ 675 m legt die Pflichten eines Zahlungsdienstleisters fest. Der Beklagte ist jedoch kein Zahlungsdienstleister des Klägers.
32
c) Ein solcher Anspruch ergibt sich auch nicht aus § 823 Abs. 2 BGB in Verbindung mit §§ 55 Abs. 1 Nr. 2 In Verbindung mit § 1 S. 2 Nr. 5 ZAG.
33
Es kann insoweit dahinstehen, ob es sich bei der Vorschrift des § 55 Abs. 1 ZAG um ein Schutzgesetz im Sinne des § 823 Abs. 2 BGB handelt, da die Beklagte nach dem Tatsachenvortrag der Parteien kein Zahlungsdienstleister im Sinne des § 55 ZAG ist.
34
§ 55 Abs. 1 ZAG verpflichtet den Zahlungsdienstleister, eine starke Kundenauthentifizierung zu verlangen. Zahlungsdienstleister sind gemäß § 1 Abs. 1 Nr. 2 ZAG E-Geldinstitute im Sinne des Abs. 2 Satz 1 Nr. 1, die im Inland zum Geschäftsbetrieb nach diesem Gesetz zugelassen sind, sofern sie Zahlungsdienste erbringen. Gemäß § 1 Abs. 2 Satz 1 Nr. 1 ZAG sind E-Geldemittenten Unternehmen, die das E-Geldgeschäft betreiben, ohne E-Geldemittenten im Sinne der Nummern 2-4 zu sein. Gemäß § 1 Abs. 2 Satz 2 ZAG ist das E-Geldgeschäft die Ausgabe von E-Geld. „Ausgabe“ von E-Geld ist die Eingehung der Verpflichtung der E-Geld ausgebenden Stelle zur Leistung gegenüber dem Berechtigten bzw. demjenigen, der E-Geld als Zahlungsmittel akzeptiert (Schwennike/Auerbach KWG mit ZAG, 4. Aufl., § 1 ZAG, Rn. 99).
35
Entgegen der Behauptung des Klägers gibt die Beklagte kein E-Geld heraus. Die Beklagte ist ausweislich der Teilnahmebedingungen zum DC Kundenprogramm keine entsprechende Verpflichtung eingegangen. Sie ist lediglich die Betreiberin des Programms. Ausweislich der Teilnahmebedingungen für das DC Programm verwaltet die Beklagte Rabatte und andere Guthaben, die dem Kunden als DC Kunde von den DC Partnerunternehmen in Form von DC Punkten gutgeschrieben werden. Die Verwaltung von E-Geld wird von § 1 Abs. 2 Satz 2 ZAG nicht erfasst (Schwennicke/Auerbach, KWG mit ZAG, 4. Aufl., § 1 Rn. 98). Damit ist die Beklagte nicht Zahlungsdienstleister im Sinne des § 55 Abs. 1 ZAG.
36
Etwas anderes ergibt sich auch nicht daraus, dass die Beklagte die DC zur Abwicklung (z.B. Sammeln und Einlösen von Punkten) herausgegebenen hat.
37
Darüber hinaus handelt es sich bei den DC Punkten nicht um E-Geld. E-Geld ist nach § 1 Abs. 2 S. 3 ZAG jeder elektronisch, darunter auch magnetisch, gespeicherte monetäre Wert in Form einer Forderung an den Emittenten, der gegen Zahlung eines Geldbetrags ausgestellt wird, um damit Zahlungsvorgänge im Sinne des § 675 f Abs. 4 Satz 1 BGB durchzuführen und der auch von anderen natürlichen oder juristischen Personen als dem Emittenten angenommen wird. Voraussetzung ist damit, dass die Zahlungseinheiten gegen Zahlung eines Geldbetrages bereitgestellt werden. Die Zahlung eines Geldbetrags erfordert damit eine Gegenleistung des Berechtigten in Form von Bar- oder Buchgeld vor Ausgabe der Zahlungseinheiten. Bei elektronisch gespeicherten Bonuspunkten eines Rabattsystems, die ohne Gegenleistung gewährt werden, liegt kein E-Geld vor. Dies ist vorliegend der Fall. Ein DC Kunde zahlt für zu erwerbende Waren oder Dienstleistungen den gleichen Endpreis, wie Kunden, die das Programm der Beklagten nicht nutzen. Damit erhält der Kunde die Bonuspunkte ohne Gegenleistung.
38
Soweit der Kläger behauptet, dass davon ausgegangen werden könne, dass die Partner der Beklagten für die Gewährung der Punkte ein Entgelt zu zahlen haben, wird der Kläger auf die Teilnahmebedingungen für das DC Programm verwiesen, die Beklagte Rabatte und andere Guthaben verwaltet, die dem Kunden als DC Kunde von den Deutschland-Card Partnerunternehmen in Form von DC Punkten gutgeschrieben werden. Danach erwerben die Partnerunternehmen der Beklagten keine Punkte gegen Entgelt von der Beklagten, sondern gewähren ihrerseits den Kunden die Rabattpunkte, die von der Beklagten lediglich verwaltet werden. Soweit der Kläger vorträgt, dass die Partnerunternehmen und die Beklagte durch das DC Programm als Gegenleistung Daten über das Kaufverhalten der Kunden erlangen, stellt dies keine unmittelbare Gegenleistung zu den einzelnen DC Punkten dar, die der Unentgeltlichkeit Entgegenstehen.
39
d) Ein solcher Anspruch folgt auch nicht aus §§ 823 Abs. 2 BGB In Verbindung mit 55 Abs. 1 S. 1, 2 ZAG.
40
Das soeben Gesagte gilt insoweit entsprechend. Die Beklagte ist kein Zahlungsdienstleister.
41
2. Der Kläger hat gegen die Beklagte keinen Anspruch auf Zahlung von immateriellem Schadensersatz in Höhe von 4.500,00 € aus Art. 82 Abs. 1 DSGVO in Verbindung mit 32 Abs. 1 DSGVO.
42
a) Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.
43
Zwischen den Parteien ist strittig, ob die Beklagte gegen die Datenschutzgrundverordnung verstoßen hat. Der Kläger trägt nach den allgemeinen zivilprozessualen Grundsätzen die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen (mwN Paulus in: BeckOK, Datenschutzrecht, 37. Ed., Art. 82 DSGVO, Rn. 51; LG München I, Urt. v. 9.12.2021 - 31 O 16606/20; zu weitgehend LAG Baden-Württemberg, Urt. v. 25.02.2021 - 17 Sa 37/20, Rz. 99, die dort angeführte Rechenschaftspflicht bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde). Aus Art. 82 Abs. 3 DSGVO ergibt sich lediglich hinsichtlich des Verschuldens eine Beweislastumkehr. Damit trägt der Kläger die Darlegungs- und Beweislast hinsichtlich eines Verstoßes der Beklagten gegen die Datenschutzgrundverordnung und eines daraus kausal entstandenen Schadens.
44
b) Der Kläger behauptet, dass die Beklagte die gemäß § 32 Abs. 1 DSGVO erforderlichen Maßnahmen hinsichtlich des Zugangs des Klägers zu dem Kundenkonto nicht getroffen habe.
45
Der Kläger macht geltend, dass eine Zwei-Faktor-Authentifizierung Stand der Technik gewesen sei. Er bezieht sich in der Klageschrift zunächst darauf, dass es sich bei dem Kundenkonto um E-Geld handeln würde. Das vom Kläger vorgelegte Privatgutachten (Anlage K13 zum Schriftsatz vom 08.06.2022) stellt hinsichtlich der Zwei-Faktor-Authentifizierung ebenfalls auf das Vorliegen eines E-Geld-Kontos ab. Die Beklagte ist jedoch kein Zahlungsdienstleister. Der Kläger hat nicht ausreichend dargelegt, dass die Zwei-Faktor-Authentifizierung auch bei bloßen Kundenbindungsprogrammen Stand der Technik ist und die vorliegende Authentifizierung beim Programm der Beklagten diesen nicht erfüllt. Danach sind zwar die einzelnen zum Kunden-Login erforderlichen Informationen teilweise nicht geheim, sondern gegenüber einzelnen Vertragspartnern anzugeben oder im näheren Umfeld des Kunden bekannt. Für die Kombination der verschiedenen Merkmale beim Login wurde dies aber nicht vorgetragen. Auch hat die Beklagte ein dokumentiertes Informationssicherheits-Managementsystem im Unternehmen umgesetzt und unterliegt einer regelmäßigen Auditierung durch unabhängige Dritte. Dies erfolgt am ISO-Standard 27001 und den Sicherheitslinien des Bundesamtes für Sicherheit in der Informationstechnik. Zudem hat die Beklagte ein sogenanntes Security Information and Event Management zur Überwachung implementiert. Ein Verstoß hiergegen wurde seitens des Klägers nicht vorgetragen. Darüber hinaus ist der Stand der Technik nur ein Gesichtspunkt in der von § 32 Abs. 1 und Abs. 2 DSGVO vorgeschrieben Abwägung. Danach sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Umstände für die Gesamtabwägung aller genannten Faktoren, die danach gegen ein angemessenes Schutzniveau sprechen, werden von dem Kläger nicht vorgetragen. Ein Verstoß gegen Art. 32 DSGVO liegt danach nicht vor. Aus Art. 32 DSGVO folgt kein Anspruch auf eine Zwei-Faktor-Authentifizierung im vorliegenden Fall.
46
c) Der Kläger macht insbesondere geltend, dass die von der Beklagten vorgegebenen Regelungen zum Passwort unzureichend seien und nicht dem Stand der Technik entsprechen würden. Die Einlog-Modalitäten sehen vor, dass Kunden sich mit der Eingabe der Kartennummer in Verbindung mit der Angabe des Geburtsdatums und der Postleitzahl in das Kundenkonto einloggen können oder mit der Eingabe der Kartennummer und einer vierstelligen PIN, die aus einer vierstelligen Zahlenkombination besteht. Der Kläger führt aus, dass als Stand der Technik eine Mindestlänge von 10 Zeichen anzusehen sei und eine Einschränkung der verwendbaren Zeichen nicht zum Stand der Technik gehöre. Insoweit übersieht die Argumentation, dass darüber hinaus auch die Kartennummer als zusätzliche Anforderung erforderlich ist.
47
Ein etwaiger Verstoß der Beklagten gegen Art. 32 DSGVO - wie hier nicht - wäre jedenfalls auch nicht kausal für den behaupteten Punkteklau. Nach Vortrag der Beklagten in der Klageerwiderung (S. 9 f.) ist es technisch zwingen notwendig für die Einlösung der DC Punkte in einen Warengutschein für Netto, die Netto-App zu nutzen und diese mit dem Deutschland-Card-Konto zu verbinden. Eine Möglichkeit Netto-Gutscheine im Prämienshop der Beklagten mit Punkten zu erwerben besteht nicht (Anlage B6 zum Schriftsatz vom 23.06.2022). Auf diese Netto-App hat die Beklagte keinen Einfluss. Inwieweit durch die Verknüpfung des Programms der Beklagten mit der App ein Verstoß gegen Art. 32 DSGVO vorliegen soll, hat der darlegungs- und beweisbelastete Kläger nickt substantiiert vorgetragen. Es liegt damit kein Verstoß der Beklagten gegen Art. 32 DSGVO vor.
48
3. Da die geltend gemachten Hauptforderungen nicht bestehen, hat der Kläger gegen die Beklagte auch keinen Anspruch auf Zahlung von vorgerichtlichen Anwaltskosten.
49
III. Die Kostenentscheidung folgt aus § 91 Abs. 1 S. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit aus §§ 709 Nr. 11, 711 ZPO.