Die zulässige Klage ist nur teilweise begründet.

A. Die Klage ist zulässig.

1. Der Klageantrag Ziffer 1 ist hinreichend bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO.

Entgegen der Auffassung der Beklagten ist der Leistungsantrag nicht deswegen zu unbestimmt, da die behaupteten zwei DSGVO-Verstöße unterschiedliche Lebenssachverhalte darstellten und damit unterschiedliche Streitgegenstände und der Kläger daher konkretisieren hätte müssen, in welchem Verhältnis die Verstöße den Mindestbetrag von 5.100 € anteilig tragen sollen. Die geltend gemachten Verstöße, das Unterlassen des Treffens geeigneter Schutzmaßnahmen sowie eine unzureichende Benachrichtigung über den Datenvorfall, unterfallen nämlich dem gleichen Lebenssachverhalt, da jeweils dieselben Daten betroffen sind.

2. Hinsichtlich des Klageantrags Ziffer 2 ist auch ein Feststellungsinteresse des Klägers gemäß § 256 Abs. 1 ZPO gegeben.

Eine Klage auf Feststellung der deliktischen Verpflichtung eines Schädigers zum Ersatz künftiger Schäden ist zulässig, wenn die Möglichkeit eines Schadenseintritts besteht (OLG München 10 U 707/15, Rn. 4; Bacher, BeckOK ZPO, 47. Edition, Stand 01.12.2022, § 256 Rn. 24).

Diese Möglichkeit ist vorliegend gegeben, da die Angreifer immer noch Zugriff auf die Daten des Klägers haben. Dass dem Kläger seit dem Datenvorfall 2020 keine materiellen Schäden entstanden sind, vermag daran nichts zu ändern, da keine hinreichende Wahrscheinlichkeit eines Schadens erforderlich ist, sondern die immer noch bestehende Möglichkeit ausreicht. Dies wäre nur dann nicht gegeben, wenn aus Sicht des Klägers bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (BeckOK ZPO a.a.O.). Eine solche Konstellation liegt hier aber nicht vor.

Unerheblich für die Zulässigkeit (und auch die Begründetheit) des Feststellungsantrags ist ferner, ob dem Kläger in einem etwaigen Bezifferungsprozess es tatsächlich gelänge, etwaig eingetretene Schäden als adäquat kausale Folge des Datenabgriffs zu beweisen. Eine solche Frage wäre in einem etwaigen späteren Bezifferungsprozess zu entscheiden.

B. Die Klage ist jedoch nur in Teilen begründet.

I. Der Kläger hat gegen die Beklagte keinen Anspruch auf Zahlung eines Betrags in Höhe von 5.100 € als Schadensersatz bzw. eines niedrigeren oder höheren Betrags aus demselben Rechtsgrund.

Es fehlt jedenfalls an einem nachgewiesenen materiellen oder immateriellen Schaden des Klägers im Sinne von Art. 82 DSGVO. Für den Schadenseintritt ist der Kläger beweisbelastet (OLG Frankfurt a.M., 02.03.2022, 13 U 206/20; LG Köln, 16.02.2022, 28 I 303/20).

Hierzu hat die 5. Zivilkammer des Landgerichts München in ihrem Urteil vom 09.02.2023, Az.: 5 O 5853/22, ausgeführt was folgt:

„aa) Der Kläger hat nicht substantiiert vorgetragen, dass er selbst Beeinträchtigungen erlitten habe, die über ein unkonkretes Gefühl des Kontrollverlustes über seine Daten hinausgingen. Insbesondere gelang es ihm nicht substantiiert vorzutragen, dass es zu einem Missbrauch seiner Daten kam oder dass seine Daten im Darknet angeboten worden seien.

bb) Damit weicht der vorliegende Sachverhalt von den vom Kläger zitierten Urteilen (z.B. LG München I, Endurteil vom 23.06.2022 – 5 O 3768/22; LG München I, Endurteil vom 09.12.2021 – 31 O 16606/20), die anderen Klägern gegen dieselbe Beklagte – (deutlich) geringere als die vom Kläger beantragten – Schadensersatzzahlungen zusprachen, ab. Bei den zitierten Urteilen lag jeweils ein Sachverhalt zugrunde, bei dem es der klagenden Partei gelungen war, erlittene Beeinträchtigungen vorzutragen und zu beweisen.

cc) Dass andere von dem Datenvorfall betroffene Personen einen Schaden erlitten haben, beispielsweise durch das Erhalten von Spam-E-Mails, kann keinen Schaden des Klägers begründen, da es an einem eigenen erlittenen Nachteil fehlt.

dd) Entgegen der Auffassung des Klägers kann ein Schaden auch nicht bereits wegen des Verstoßes der Beklagten gegen Art. 32 DSGVO angenommen werden, mit der Begründung, dass bereits der Verstoß gegen die DSGVO an sich einen Schaden im Sinne von Art. 82 Abs. 1 DSGO begründe.

(1) Diese Auffassung ist mit dem Wortlaut des Art. 82 Abs. 1 DSGVO nicht vereinbar. Nach dem Wortlaut besteht ein Schadensersatzanspruch, wenn einer Person wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist; das Vorliegen eines Verstoßes gegen die DSGVO und der daraus entstandene Schaden sind folglich zwei unterschiedliche Tatbestandsmerkmale. Wenn jeder Verstoß gegen die DSGVO an sich bereits einen Schaden und damit einen Anspruch auf Schadensersatz begründen würde, wäre es überfüssig, dass Art. 82 Abs. 1 DSGVO das Vorliegen eines Schadens als Voraussetzung für den Schadensersatzanspruch nennt. Der Schaden ist somit nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (BeckOK, Datenschutzrecht, 42. Edition, 01.08.22, Art. 82 DSGVO Rn. 23). Es bedarf somit des Nachweises eines konkreten (auch immateriellen) Schadens (OLG Frankfurt a.M., Urt. v. 02.03.2022, 13 U 206/20).

(2) Zudem würde diese Auffassung Verantwortliche im Sinne der DSGVO unbillig belasten.

Der vorliegende Fall zeigt, dass bei einem Datenleck bei großen Unternehmen eine Vielzahl von Personen – hier 33.200 Kunden – betroffen sein kann. Würde jeder dieser Person bereits wegen eines Verstoßes gegen die DSGVO ein Schadensersatz in fünfstelliger Höhe zustehen, ohne dass die Betroffenen konkrete Beeinträchtigungen erlitten haben müssen, würde dies für Unternehmen möglicherweise existenzbedrohende Zahlungsverpflichtungen nach sich ziehen, obwohl die Beeinträchtigungen der Rechte ihrer Kunden als eher gering einzustufen sind.“

Dem ist seitens des Unterzeichners beizutreten. Der Sachvortrag des Klägers zu den durch ihn erlittenen Beeinträchtigungen erschöpft sich in Allgemeinplätzen. Diese werden in weitgehend identischer Form durch die Prozessbevollmächtigten des Klägers in einer Vielzahl von Schriftsätzen in gleicher Form vorgetragen. So heißt es in der Klageschrift S. 8, der Kläger sei bereits vermehrt Opfer von Betrugsversuchen geworden. Einen Satz später heißt es weiter, der Kläger sei bereits vermehrt Opfer von Betrugsversuchen via Phishing Angriffen und Spam Mails geworden. Wenn es konkrete Phishing-Angriffe auf den Kläger gegeben hätte, so wäre es dem Kläger möglich gewesen, hierzu konkret vorzutragen, was nicht erfolgt ist. Hierzu angehört werden konnte der Kläger nicht, da er zum Termin zur mündlichen Verhandlung nicht erschienen ist. Zudem würde sich selbst für den Fall tatsächlicher Phishing-Angriffe das Problem stellen, ob diese tatsächlich ursächlich auf den hier gegenständlichen Datenschutzvorfall zurückzuführen sind. Phising-Angriffe kommen mittlerweile häufig vor. Auch der Unterzeichner war bereits mit solchen Angriffen konfrontiert, etwa dass vermeintlich Passwörter oder Accounts bei Paypal oder Amazon „bestätigt“ werden sollten. Vom Datenschutzvorfall bei der Beklagten war der Unterzeichner hingegen schon mangels Konto dort nicht betroffen. Mithin sind die meisten Internetnutzer mit derartigen Angriffen konfrontiert. Gleiches gilt für Spam-Mails, die wohl jeder Nutzer des Internets in großer Zahl erhält. Zudem ist zu berücksichtigen, dass nach der Internet-Auskunft Anlage B 7 persönliche Daten des Klägers auch bei anderen Datenschutzvorfällen abgegriffen wurden.

Unabhängig von diesen Erwägungen erachtet es das Gericht auch für äußerst unwahrscheinlich, dass alle Kunden der Beklagten, die von dem Datenschutzvorfall betroffen waren, die genau gleichen Ängste hatten oder in gleicher Weise mit aus dem Vorfall resultierenden Problemen konfrontiert waren. Der identische Sachvortrag dazu dürfte eher auf einer Arbeitsökonomisierung der Prozessbevollmächtigten des Klägers, die gerichtsbekannt zahlreiche Kläger gegen die Beklagte vertreten, beruhen. Zuletzt gab auch die im Termin für den Kläger anwesende Rechtsanwältin an, ihr seien über die vorgetragenen Beeinträchtigungen hinaus keine konkreten Beeinträchtigungen bekannt.

Anzufügen ist noch, dass nach zutreffender Auffassung der bloße DSGVO-Verstoß selber noch nicht zu einem Ersatzanspruch nach Art. 82 DSGVO führt. Eine abweichende Auffassung würde den Begriff des Schadens sowie von „Schadensersatz“ in Art. 82 Abs. 1 DSGVO ad absurdum führen. Auch reicht ein bloßer Kontrollverlust über Daten führt einen Ersatzanspruch nicht aus (Paal, Höhe des Ersatzes immaterieller Schäden nach Art. 82 DSGVO, NJW 2022, 3673).

II. Anspruch auf Zinsen aus dem Zahlungsbetrag hat der Kläger mangels Anspruchs in der Hauptsache nicht.

III. Hingegen hat der Kläger Anspruch auf Feststellung der grundsätzlichen Ersatzpflicht für zukünftige Schäden, welche aus dem Datenschutzvorfall bei der Beklagten resultieren. Der entsprechende Anspruch ergibt sich aus Art. 82 DSGVO.

1. Die Beklagte ist Verantwortliche im Sinne von Art. 82 Abs. 1, 4 Nr. 7 DSGVO, da sie Kundendaten im Rahmen des Anmeldeprozesses abfragt und in einem Datenarchiv abspeichert.

2. Die Beklagte hat gegen Art. 32 Abs. 1 DSGVO verstoßen.

Hierzu hat die 5. Zivilkammer des Landgerichts München I in ihrem Urteil vom 09.02.2023, Az.: 5 O 5853/22, ausgeführt:

„Art. 32 Abs. 1 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko für die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen angemessenes Schutzniveau zu garantieren. Art. 5 Abs. 1 (f) DSGVO ergänzt den Aspekt der Vertraulichkeit, dass die Daten vor unbefugter und unrechtmäßiger Verarbeitung zu schützen sind durch geeignete technische und organisatorische Maßnahmen. Die konkret zu ergreifenden Schutzmaßnahmen hängen von der Bedeutung der Daten für die Rechte und Interessen der betroffenen Personen ab (Schantz in: BeckOK Datenschutzrecht, 42. Edition, 01.11.2021, Art. 5 Rn. 35).

(1) Dies hat die Beklagte unterlassen, indem sie die Zugangsdaten zu ihrem IT-System nach Beendigung der Vertragsbeziehungen mit der Fa. … nicht geändert hat.

Die Beklagte hatte den Zugangsschlüssel zu ihrem Datenarchiv bei der Fa. … gespeichert. Die gespeicherten personenbezogenen Daten, mithin auch die Daten des Klägers lagen und liegen in einem Dokumentenarchiv bei der Fa … in Frankfurt a.M.. Die Vertragsbeziehung zur Fa. … beendete die Beklagte Ende 2015. Die beim Kläger im Jahr 2020, d.h. über 4 Jahre nach Beendigung der Vertragsbeziehung Beklagte … erhobenen Daten wurden im Datenerarchiv gespeichert und dort mittels des bei der Fa. … erlangten Zugangsschlüssels ausgelesen. Nach Beendigung der Vertragsbeziehung mit der Fa. … hat die Beklagte den Zugangsschlüssel nicht geändert noch andere Schritte unternommen, dass der Zugangsschlüssel nicht mehr verwendet werden kann.

(2) Dadurch hat sie das Risiko aufrechterhalten, dass durch einen Hacker-Angriff auf die Fa. … auch Daten ihrer Kunden abgegriffen werden können. Dieses Risiko hätte durch eine Abänderung der Zugangsdaten minimiert oder gar ausgeschlossen werden können.

(3) Da die Beklagte Verantwortliche im Sinne von Art. 32 Abs. 1, 4 Nr. 7 DSGVO ist, hat sie sich nicht darauf verlassen dürfen, dass die Fa. … die Zugangsinformationen löscht, unabhängig davon, ob diese dazu vertraglich verpflichtet war oder nicht.

Als Anbieterin von Online-Leistungen – der Vertragsabschluss mit dem Kläger erfolgte ausschließlich online – musste die Beklagte zudem wissen, dass Sicherheitskopien regelmäßig angefertigt werden, d.h. dass Daten letztlich nicht nur an einem einzigen Ort gespeichert werden. Ihr war damit bekannt, dass der Zugangsschlüssel sich auch in Sicherheitskopien der Fa. … befinden könnte. Die Beklagte hat damit nicht die erforderliche Sorgfalt dafür aufgewendet, um sicherzustellen, dass der Zugangsschlüssel, der bei der Fa. … lag, keiner weiteren Verwendung zugeführt wird (so auch LG Köln, 18.5.2022, 28 I 328/21). Allein das Vertrauen der Beklagten, dass sich die Fa. … rechtstreu verhalten werde und damit ein Missbrauch des Zugangsschlüssels ausgeschlossen ist, reicht insbesondere vor dem Hintergrund der Sensibilität der erlangten, personenbezogenen Daten nicht aus, um ein ausreichendes Schutzniveau behaupten zu können. Entgegen Art. 5 DSGVO, der ein Ergreifen von Maßnahmen fordert, hat die Beklagte schlichtweg nichts getan, um nach Vertragsende mit der Fa. … einem Datenmissbrauch vorzubeugen, quasi so als hätte sie nach Beendigung eines Mietverhältnisses der Mieterin den Wohnungsschlüssel überlassen und sich nicht darum gekümmert, was damit passiert.

(4) Die Beklagte hat auch nicht hinreichend vorgetragen, warum die Abänderung der Zugangsdaten derart aufwändig gewesen wäre, dass dies im Verhältnis zu dem Risiko für die Rechte und Freiheiten ihrer Kunden nicht mehr angemessen gewesen wäre. Insbesondere wäre eine kurzzeitige Nichtverfügbarkeit der Dienste hinzunehmen gewesen.

(5) Hinzu kommt, dass die Beklagte durch ihr Verhalten die Datenmissbrauchsmöglichkeit über die Fa. … über den ursprünglich gegebenen Umfang erweitert hat, hat sie doch die personenbezogenen Daten von Kunden, die erst nach Beendigung der Beziehung Beklagte … – akquiriert wurden, gleichfalls der Zugriffsmöglichkeit über den alten Zugangsschlüssel zugeführt. Es fehlt insoweit auch an einer wirksamen Einwilligung in die Datenverarbeitung nach Art 6 DSVGO, da der Kläger nicht einmal darüber informiert worden war, dass seine Daten über die Fa. CodeShip als eine Dritte, die in die Vertragsbeziehungen weder mit ihm noch mit der Beklagten eingebunden gewesen war, zugänglich seien. Dass der Zugangsschüssel bei der Fa. … noch vorhanden sein könnte, musste der Beklagten bewusst sein (s.o.).

(6) Da die Beklagte ihre eigenen Pflichten aus Art. 32 Abs. 1 DSGVO verletzt hat, kann dahinstehen, ob ihr überdies ein etwaiger Verstoß der Fa. … zuzurechnen ist.“

Dem ist seitens des Unterzeichners beizutreten. Ergänzend ist seitens des Gerichts anzuführen, dass es für die unterbliebene Änderung der Zugangsdaten auch jeglichen nachvollziehbaren Grundes fehlte. Ganz offensichtlich hat sich die Beklagte darauf verlassen, dass sich die Fa. … vertragsgemäß verhalte. Möglicherweise war dies im Grundsatz auch der Fall, doch wie der vorliegende Fall zeigt, kann es immer Kopien vorhandener Daten auf Sicherungsservern geben. Schon weil die Beklagte hierauf keinerlei Einfluss hatte, hätte sie die Zugangsdaten ändern müssen. Dabei ist auch unerheblich, ob es technische Standards dahingehend gibt, dass Zugangsdaten regelmäßig zu ändern seien. Eine solche Änderung war hier nach der Beendigung der Vertragsbeziehung derart naheliegend, dass sich die Beklagte nicht darauf berufen kann, es gäbe keine Standards, die eine solche Änderung vorschrieben.

3. Das Verschulden der Beklagten ist ebenfalls gegeben, weil die Beklagte gehalten gewesen wäre, die Zugangsdaten nach Kündigung der Vertragsbeziehung mit der Fa. … zu verändern, was sie aber bewusst nicht getan hat.

4. Die grundsätzliche Möglichkeit des Eintritts materieller Schäden besteht, da die Daten des Klägers noch immer „verloren“ sind und damit potenziell missbraucht werden könnten. Auch wenn der Datenabgriff bereits im Jahr 2020 stattfand, ist unter dem Gesichtspunkt „Das Internet vergisst nicht“ nicht ansatzweise ausgeschlossen, dass die personenbezogenen Daten des Klägers, die über den Datenvorfall erlangt wurden, in Zukunft zu einem Schaden bei diesem führen. Der eingetretene Datenverlust betrifft einen nicht unerheblichen Bestandteil an personenbezogenen Daten des Klägers. Für den Feststellungsantrag ist hingegen unerheblich, ob dem Kläger in einem etwaigen späteren Bezifferungsprozess tatsächlich der Nachweis gelingen würde, dass ihm entstandene Schäden gerade auf das Datenleck bei der Beklagten zurückzuführen sind.

C.

Anspruch auf vorgerichtliche Rechtsanwaltskosten hat der Kläger nicht. Die Beklagte befand sich nicht im Verzug mit einer Erklärung zu ihrer Haftung, als der Kläger seine nunmehrigen Prozessbevollmächtigten einschaltete. Vielmehr stammte bereits das erste Anschreiben an die Beklagte von den nunmehrigen Prozessbevollmächtigten, so dass die Kosten der Einschaltung der Prozessbevollmächtigten jedenfalls nicht verzugskausal sind.

Im Anspruchsschreiben Anlage K5 wird zudem gar kein Feststellungsantrag geltend gemacht, so dass auch unter dem Gesichtspunkt von §§ 280 Abs. 1, 249 BGB auch ein Teilbetrag für die vorgerichtlichen Rechtsanwaltskosten nicht zuzusprechen war.

D.

I. Die Entscheidung über die Kosten erfolgte nach § 92 Abs. 1 ZPO.

II. Über die vorläufige Vollstreckbarkeit war für beide Parteien nach §§ 708 Nr. 11, 711 ZPO zu entscheiden.

III. Der Streitwert wurde auf 6.100 € festgesetzt. Maßgeblich ist insoweit der mit Ziff. 1 der Klageanträge geforderte Betrag von 5.100 €. Hinzu tritt ein Betrag für den Feststellungsantrag hinsichtlich zukünftiger Schäden. Dieser ist auch wirtschaftlich nicht identisch mit dem Zahlungsantrag, weshalb der Streitwertangabe des Klägers nicht gefolgt werden konnte. Mangels näherer Angaben der Parteien sowie Anhaltspunkt für eine konkrete Bemessung geht das Gericht von einem Betrag in Höhe von 1.000 € aus.