Die zulässige Klage erweist sich in nur geringem Umfang als begründet. Der Kläger hat einen Anspruch auf Schadenersatz dem Grunde nach für ihm künftig aus den beiden Datenvorfällen vom August und Oktober 2020 entstehende materielle Schäden gem. Art. 82 Abs. 1 DSGVO. Ein weitergehender Anspruch besteht demgegenüber nicht.

I)

Die Klage ist zulässig.

1. Das LG München I ist gem. §§ 1 ZPO, 71 Abs. 1, 23 Nr. 1 GVG sachlich und gem. §§ 44 Abs. 1 S. 1 BDSG, 12, 17 ZPO örtlich zuständig.

2. Der Klageantrag zu Ziffer 1 ist hinreichend bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO, weil die geltend gemachten Verstöße gegen Art. 32, 34 DSGVO und die geltend gemachten Folgen demselben Lebenssachverhalt unterfallen und dieselben Daten betroffen sind, so dass sie auch im Lichte des Antrags auf Zahlung von 5.100,00 € zuzüglich Zinsen einen einheitlichen Streitgegenstand darstellen, der damit hinreichend bestimmt ist.

3. Der Kläger hat auch ein gem. § 256 Abs. 1 ZPO erforderliches Interesse an der Feststellung einer Ersatzpflicht für künftige materielle Schäden. Eine Klage auf Feststellung der deliktischen Verpflichtung eines Schädigers zum Ersatz künftiger Schäden ist zulässig, wenn die Möglichkeit eines Schadenseintritts besteht (vgl. z.B. OLG München v. 20.11.2015 – Az.: 10 U 707/15 – Rz. 4; alle Entscheidungen, auch im Folgenden und soweit nicht anders gekennzeichnet, zitiert nach juris-Datenbank; vgl. auch Bacher, Beck'scher Online-Kommentar zur ZPO, 47. Edition, Stand 01.12.2022, § 256 Rz. 24). Diese Möglichkeit ist vorliegend gegeben, da die Angreifer immer noch Zugriff auf die Daten des Klägers haben. Dass dem Kläger seit dem Datenvorfall 2020 keine materiellen Schäden entstanden sind, vermag daran nichts zu ändern, da keine hinreichende Wahrscheinlichkeit eines Schadens erforderlich ist, sondern die immer noch bestehende Möglichkeit ausreicht. Etwas anderes gälte erst dann, wenn aus Sicht des Klägers bei verständiger Würdigung gar kein Grund mehr bestünde, mit dem Eintritt eines Schadens wenigstens zu rechnen (OLG München v. 20.11.2015 – Az.: 10 U 707/15 – Rz. 7, Rn. 4).

II)

Die Klage ist jedoch in nur geringem Umfang begründet.

1. Der Kläger hat keinen Anspruch auf einen immateriellen Schadenersatz in Höhe von 5.100,00 € gem. Art. 82 Abs. 1 DSGVO. Denn auch wenn die Beklagte, indem sie die Zugangsinformationen für die Fa. … nach Beendigung der vertraglichen Beziehungen nicht änderte und somit gegen Art. 32 Abs. 1 DSGVO verstieß, so ist dem Kläger doch kein ursächlich auf die streitgegenständlichen Datenvorfälle zurückzuführender, immaterieller Schaden entstanden, der gem. Art. 82 Abs. 1 DSGVO ersatzfähig wäre.

1.1 Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen. Verantwortlicher im Sinne der DSGVO ist gem. Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Personenbezogene Daten sind gem. Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, wobei eine natürliche Person als identifizierbar angesehen wird, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

1.2 Die Beklagte ist Verantwortliche im Sinne von Art. 82 Abs. 1, 4 Nr. 7 DSGVO, weil sie Kundendaten im Rahmen des Anmeldeprozesses abfragt und in einem Datenarchiv abspeichert. Auch sind die von den streitgegenständlichen Daten vorfällen erfassten Daten personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, weil sie den Kläger identifizierbar machen.

1.3 Die Beklagte hat gegen Art. 32 Abs. 1 DSGVO verstoßen.

1.3.1 Nach Art. 32 Abs. 1 DSGVO sind Verantwortliche (i.S.v. Art. 4 Nr. 7 DSGVO) verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko für die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen angemessenes Schutzniveau zu garantieren. Art. 5 Abs. 1 lit. f. DSGVO ergänzt den Aspekt der Vertraulichkeit, dass die Daten vor unbefugter und unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen zu schützen sind. Dabei hängen die konkret zu ergreifenden Schutzmaßnahmen von der Bedeutung der Daten für die Rechte und Interessen der betroffenen Personen ab (Schantz in Wolff/Brink, Beck'scher Online-Kommentar zum Datenschutzrecht, 42. Edition, 01.11.2021, Art. 5 Rz. 35).

1.3.2 Indem die Beklagte die Zugangsdaten nach Beendigung der Vertragsbeziehung mit der Fa. … nicht änderte, schützte sie die Daten nicht angemessen vor einer unbefugten oder unrechtmäßigen Verarbeitung.

Die Beklagte speicherte die personenbezogenen Daten des Klägers – als pdf-Dateien verschriftlichter Dokumente – in einem Datenarchiv. Den Zugangsschlüssel zu ihrem Datenarchiv hatte sie zunächst während der Dauer der bestehenden Zusammenarbeit bei der Fa. … gespeichert. Doch auch nach Beendigung der Vertragsbeziehung mit der Fa. … änderte die Beklagte den Zugangsschlüssel nicht ab und unternahm auch keine anderen Schritte um sicherzustellen, dass der Zugangsschlüssel nicht mehr verwendet werden kann. Dadurch hat sie das Risiko aufrechterhalten, dass durch einen Hacker-Angriff auf die Fa. … auch Daten ihrer Kunden abgegriffen werden können, ein Risiko, dass durch eine Abänderung der Zugangsdaten hätte minimiert oder gar ausgeschlossen werden können.

Als Verantwortliche im Sinne von Art. 32 Abs. 1, 4 Nr. 7 DSGVO durfte sich die Beklagte auch nicht lediglich darauf verlassen, dass die Fa. … die Zugangsinformationen löschen würde, unabhängig davon, ob diese dazu vertraglich verpflichtet war oder nicht. Vor allem aber durfte sie sich auch nicht ohne weiteres darauf verlassen, dass auch alle Sicherungskopien, Back-Ups und sonstigen weiteren Speichermaßnahmen im Hinblick auf den Zugangsschlüssel vollständig und dauerhaft gelöscht sein würden. Allein das Vertrauen der Beklagten in ausreichende Schutzmaßnahmen auf Seiten der Fa. … reicht insbesondere vor dem Hintergrund der Sensibilität der erlangten, personenbezogenen Daten nicht aus, um ein ausreichendes Schutzniveau behaupten zu können. Entgegen Art. 5 DSGVO, der ein Ergreifen von Maßnahmen fordert, hat die Beklagte schlichtweg nichts getan, um nach Vertragsende mit der Fa. … einem Datenmissbrauch vorzubeugen, quasi so als hätte sie nach Beendigung eines Mietverhältnisses der Mieterin den Wohnungsschlüssel überlassen und sich nicht darum gekümmert, was damit passiert.

Die Beklagte hat auch nicht hinreichend vorgetragen, warum die Abänderung der Zugangsdaten derart aufwändig gewesen wäre, dass dies im Verhältnis zu dem Risiko für die Rechte und Freiheiten ihrer Kunden nicht mehr angemessen gewesen wäre. Insbesondere wäre eine kurzzeitige Nichtverfügbarkeit der Dienste hinzunehmen gewesen. Tatsächlich war ihre – nach Bekanntwerden der Datenvorfälle – eine solche Maßnahme dann auch möglich. Berücksichtigt man zudem, dass die Beklagte durch ihr Verhalten die Datenmissbrauchsmöglichkeit über die Fa. … über den ursprünglich gegebenen Umfang erweiterte, indem sie auch die personenbezogenen Daten von Kunden, die die Beklagte erst nach Beendigung der vertraglichen Beziehungen zur Fa. … gewinnen konnte, gleichfalls dem Risiko eines Zugriffs über den alten Zugangsschlüssel aussetzte.

Auf Grund hat die Beklagte die grundlegenden, personenbezogenen Daten des Klägers nicht ausreichend durch geeignete technische und organisatorische Maßnahmen vor einem unberechtigten Zugriff gem. Art. 5 Abs. 1 lit. F DSGVO geschützt und damit nicht ausreichend geeignete Maßnahmen für ein angemessenes Schutzniveau im Sinne von Art. 32 Abs. 1 DSGVO ergriffen.

1.3.3 Dem steht auch nicht entgegen, dass die Beklagte für ihr Informationssicherheitsmanagement eine Zertifizierung nach ISO 27001:2013 des TÜV Rheinland erhalten hatte, das Bayerische Landesamt für Datenschutzaufsicht (LDA Bayern) keinen Pflichtenverstoß feststellte und daher – wie die Beklagte vorträgt – in einer nach Art. 32 Abs. 1 DSGVO vorzunehmenden Gesamtwürdigung das Schutzniveau in Anbetracht des Zusammenspiels aller ergriffenen Maßnahmen als ausreichend zu werten sei. Denn ungeachtet dessen, dass der konkrete Prüfungsumfang weder des TÜV Rheinland noch des LDA Bayern nicht hinreichend dargetan ist, stellt die Einhaltung eines Zertifizierungsverfahrens (Art. 32 Abs. 3 DSGVO) nur einen Aspekt im Rahmen der Abwägung dar, in die zugleich auch Umfang und Bedeutung der in Frage stehenden personenbezogenen Daten und die Risiken und potenziellen Folgen eines Datenvorfalls einzustellen sind, wie auch Art. 32 Abs. 2 DSGVO deutlich macht. Nach Beendigung der Vertragsbeziehungen die dem früheren Vertragspartner zur Verfügung gestellten Zugangsdaten nicht abzuändern, ist in Anbetracht des Umfangs der dadurch betroffenen Daten und des Umstandes, dass es sich um höchstpersönliche, private Daten einer großen Zahl von Kunden handelt, daher ein wenngleich singulärer, aber doch im konkreten Fall in seinen Auswirkungen so gravierender Verstoß, dass auch in Anbetracht eines ansonsten angemessenen und ausreichenden Schutzkonzeptes eine Verletzung der sich aus Art. 32 Abs. 1, Art. 5 Abs. 1 DSGVO ergebenden Pflichten zu bejahen ist.

1.4 Der Verstoß gegen Art. 32 Abs. 1 DSGVO – das Absehen von einer Änderung der Zugangsdaten nach Vertragsbeendigung mit der Fa. … – lässt auch die im Verkehr erforderliche Sorgfalt außer acht und war damit fahrlässig, so dass auch das erforderliche Verschulden auf Seiten der Beklagten zu bejahen ist.

1.5 Allerdings ist dem Kläger durch die streitgegenständlichen Datenvorfälle weder ein immaterieller noch ein materieller Schaden entstanden, der eine Ersatzpflicht nach Art. 82 Abs. 1 DSGVO auslösen würde.

1.5.1 Der Anspruch auf Schadenersatz setzt nach dem ausdrücklichen Wortlaut des Art. 82 Abs. 1 DSGVO voraus, dass dem Betroffenen „wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“ (Hervorhebung durch das Gericht). Die Darlegungs- und Beweislast dafür tritt – den allgemeinen zivilprozessualen Regeln, dass die klagende Partei grundsätzlich die den Anspruch begründenden Umstände beweisen muss – der Kläger (vgl. OLG Frankfurt a.M. v. 2.3.2022 – Az.: 13 U 206/20 – Rz. 65 f.; LG München I v. 09.02.2023 – Az. 5 O 5853/22 – vorgelegt als Anlage B15).

1.5.2 Diesen Maßstab zugrunde gelegt, hat der Kläger nicht ausreichend dargetan, dass bei ihm ein materieller oder immaterieller Schaden eingetreten sei. Einen konkreten materiellen Schaden hat er selbst nicht behauptet. Dass die bei dem Datenvorfall erbeuteten personenbezogenen Daten für einen Identitätsdiebstahl tatsächlich verwendet bzw. missbraucht worden wären, hat er gleichfalls nicht vorgetragen. Und er hat auch nicht subsstantiiert dazu vorgetragen, dass es in sonstiger Weise zu einem konkreten Missbrauch – über den Erhalt von Nachrichten oder Anrufen hinaus – seiner Daten gekommen sei oder seine Daten im Darknet tatsächlich konkret angeboten worden seien.

Soweit der Kläger vorgetragen hat, dass er Adressat einer großen Anzahl von E-Mails, Kurznachrichten oder auch Anrufen, z.T. auch mit erpresserischem Inhalt geworden sei, handelt es sich dabei um typische, mit der Nutzung digitaler Kommunikationsmittel verbundener Beeinträchtigungen und Risiken, wie sie allgemein auftreten und erlitten werden. Der Datenvorfall mag bei dem Kläger ein unkonkretes, wiewohl unangenehmes Gefühl des Kontrollverlustes über die eigenen Daten ausgelöst haben, die Schwelle zur Annahme eines immateriellen Schadens im Sinne einer Beeinträchtigung eines geschützten Rechtsgutes wird dadurch jedoch noch nicht überschritten.

Doch selbst wenn man in dem Erhalt der E-Mails, Nachrichten und Anrufe einen ausreichenden immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO erblicken wollte, so hat der Kläger jedenfalls nicht ausreichend substantiiert darzulegen vermocht, dass diese Beeinträchtigungen ursächlich auf die hier streitgegenständlichen Datenvorfälle zurückzuführen wären. Denn die Beklagte hat substantiiert anhand der Anlage B8 vorgetragen, dass der Kläger bei mindestens drei weiteren Gelegenheiten Opfer von Datenvorfällen wurde, bei denen jedenfalls auch seine Telefonnummer und seine E-Mail-Adresse abgegriffen wurden. Das hat der Kläger auch nicht substantiiert bestritten. Dann aber lässt sich der geklagte Erhalt von E-Mails, Nachrichten und Anrufen auch nicht zur Überzeugung des Gerichts (§ 286 ZPO), nicht einmal mit einer überwiegenden Wahrscheinlichkeit (§ 287 ZPO) auf die streitgegenständlichen Datenvorfälle bei der Beklagten zurückführen.

1.5.3 Entgegen der Auffassung des Klägers kann ein Schaden auch nicht allein wegen des Verstoßes der Beklagten gegen Art. 32 DSGVO angenommen werden, mit der Begründung, dass bereits der Verstoß gegen die DSGVO an sich einen Schaden im Sinne von Art. 82 Abs. 1 DSGO begründe.

Diese Auffassung ist mit dem Wortlaut des Art. 82 Abs. 1 DSGVO nicht vereinbar. Nach dem Wortlaut besteht ein Schadensersatzanspruch, wenn einer Person wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist; das Vorliegen eines Verstoßes gegen die DSGVO und der daraus entstandene Schaden sind folglich zwei unterschiedliche Tatbestandsmerkmale. Wenn jeder Verstoß gegen die DS-GVO an sich bereits einen Schaden und damit einen Anspruch auf Schadensersatz begründen würde, erübrigte sich, dass Art. 82 Abs. 1 DSGVO das Vorliegen eines Schadens ausdrücklich als weitere Voraussetzung für den Schadensersatzanspruch nennt. Der Schaden ist somit nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen, sondern Art. 82 Abs. 1 DSGVO trennt zwischen dem Verstoß und dem daraus resultierenden, „entstandenen“ Schaden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (OLG Frankfurt v. 02.03.2022 – Az.: 13 U 206/20 – Rz. 70 f.; Generalanwalt Manuel Campos Sänchez-Bordona, Schlussanträge in der Rechtssache C-300/21 Österreichische Post AG vom 06.10.2022, Rz. 27 ff.; Quaas in Wolff/Brink, Beck'scher Online-Kommentar zum Datenschutzrecht, 43. Edition, Stand 01.02.2023, Art. 82 DSGVO, Rz. 23). Daher muss auch ein immaterieller Schaden eingetreten sein und konkret dargelegt werden, wofür sich beispielhafte Aufzählungen in den Erwägungsgründen 75 und 85 der DSGVO finden (Quaas a.a.O., Rz. 24). Weder die vom Kläger geklagten Beeinträchtigungen noch der Umstand, dass es überhaupt zu einem Datenvorfall gekommen ist, erfüllen damit die Voraussetzungen des Art. 82 Abs. 1 DSGVO für einen ersatzfähigen immateriellen Schaden.

1.5.4 Auf Grund all dessen hat der Kläger keinen Anspruch auf Ersatz eines immateriellen Schadens gem. Art. 82 Abs. 1 DSGVO. Lediglich ergänzend sei daher darauf hingewiesen, dass die Beklagte ihrerseits – davon abgesehen – aber auch Kompensationsleistungen erbracht hat, etwa durch das Angebot einer kostenlosen Teilnahme am „SchufaPlus“-Programm, was dem Kläger eine Überwachung im Hinblick auf unbefugte finanzielle Aktivitäten ermöglicht und dieser daher auch angenommen hat, oder durch das Angebot der Kostenübernahme für die Ausstellung eines neuen Personalausweises – ein Angebot, dass der Kläger allerdings selbst im Hinblick auf die nur noch kurze Laufzeit des Personalausweises ausschlug.

Auch wenn der Kläger – wie von ihm in der mündlichen Verhandlung vorgetragen – dabei auch berücksichtigte, dass während der Corona-Pandemie ein Antrag auf vorgezogene Ausstellung eines neuen Personalausweises mit erheblichem Aufwand verbunden gewesen wäre, so zeigt der Umstand, dass er diesen Aufwand scheute, doch, dass er das Risiko eines Missbrauchs der mit dem Ausweis verbundenen Daten doch als jedenfalls geringer erachtete als die Unannehmlichkeiten des Aufwandes.

1.6 Aus den gleichen Erwägungen kann der Kläger auch keinen Schadenersatz gem. Art. 82 Abs. 1 DSGVO wegen eines Verstoßes gegen Art. 34 Abs. 1 DSGVO geltend machen. Dabei kann es dahingestellt bleiben, ob die von der Beklagten am 19.10.2020 erteilten Informationen unverzüglich im Sinne von Art. 34 DSGVO erfolgt sind und auch den erforderlichen Inhalt hatten. Und es kann auch dahingestellt bleiben, ob Art. 34 DSGVO überhaupt in den Schutzbereich des Art. 82 Abs. 1 DSGVO fällt (was die Beklagte bestreitet). Denn auch insoweit fehlt es jedenfalls an einem ersatzfähigen immateriellen Schaden nach den oben dargelegten Erwägungen. Und das gilt umso mehr, als auch nach dem klägerischen Vortrag nicht ersichtlich ist, inwieweit die von ihm vorgetragenen Beeinträchtigungen ursächlich auf eine unzureichende Information zurückzuführen sein sollten – die Datenvorfälle waren ja zuvor bereits erfolgt.

2. Der Kläger hat auch keinen Anspruch auf Ersatz eines ihm möglicherweise künftig entstehenden materiellen Schadens im Zusammenhang mit dem Datenvorfall im April 2020, weil er zu diesem Zeitpunkt nach eigenem Vortrag noch nicht Kunde der Beklagten war (das ist er erst seit Juni 2020) und entsprechend seine Daten zu diesem Zeitpunkt auch noch nicht von dem Vorfall betroffen gewesen sein können.

3. Demgegenüber erweist sich der Antrag auf Feststellung einer Ersatzpflicht für etwaige künftige materielle Schäden auf Grund der beiden Datenvorfälle vom August und Oktober 2020 gem. Art. 82 Abs. 1 DSGVO als begründet. Wie oben ausgeführt, hat die Beklagte als Verantwortliche schuldhaft gegen Art. 32 Abs. 1 DSGVO verstoßen. Erleidet der Kläger in Zukunft materielle Schäden durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, die damit kausal zu dem Verstoß der Beklagten gegen Art. 32 DSGVO sind, so steht ihm gegen die Beklagte ein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu.

Die Möglichkeit des Eintritts materieller Schäden besteht und ist auch nicht gänzlich auszuschließen, weil die Daten des Klägers noch immer „verloren“ sind und damit potenziell missbraucht werden können. Auch wenn der Datenabgriff bereits im Jahr 2020 stattfand, ist unter dem Gesichtspunkt „Das Internet vergisst nicht“ nicht auszuschließen, dass die personenbezogenen Daten des Klägers, die über den Datenvorfall erlangt wurden, in Zukunft missbraucht werden und so zu einem Schaden bei dem Kläger führen, zumal ein nicht unerheblicher Bestandteil an personenbezogenen Daten des Klägers betroffen ist.

Insoweit erweist sich die Klage daher als begründet. Da es sich vorliegend nicht um ein letztinstanzliches Urteil handelt, war eine Vorlage zum Zweck der Vorabentscheidung an den EuGH gemäß Art. 267 Abs. 3 AEUV nicht, wie von der Beklagten beantragt, erforderlich.

4, Soweit der Kläger schließlich Ersatz der ihm durch die vorgerichtliche anwaltliche Vertretung entstandenen Kosten von 859,28 € für die Geltendmachung immateriellen Schadenersatzes begehrt, ist die Klage demgegenüber wiederum unbegründet, weil ein solcher Anspruch auf immateriellen Schadenersatz nicht besteht, so dass auch seine vorgerichtliche Geltendmachung unberechtigt war. Und eine Erklärung über die Ersatzpflicht für künftige materielle Schäden wurde mit dem als Anlage K7 vorgelegten Schreiben nicht verlangt, war somit nicht Gegenstand der außergerichtlichen Geltendmachung.

III)

Die Kostenentscheidung folgt aus § 92 Abs. 2 ZPO, weil die Klage in nur geringem Umfang begründet ist und insoweit auch kein Kostensprung ausgelöst wird.

Der Ausspruch zur vorläufigen Vollstreckbarkeit – hinsichtlich der Kosten – beruht auf § 709 ZPO.