Inhalt

AG München, Endurteil v. 03.08.2023 – 241 C 10374/23
Titel:

Kein Schadensersatz für Datenvorfall bei einem Wertpapierinstitut

Normenkette:
DGSVO Art. 4 Nr. 1, Art. 34, Art. 82 Abs. 1
Leitsätze:
1. Bei Vermögensschäden bedarf es für die Zulässigkeit einer Klage der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts. (Rn. 32) (redaktioneller Leitsatz)
2. Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen eines Anspruchs auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1 DGSVO trägt die Person, die diesen Anspruch auf Schadensersatz gegen den Verantwortlichen geltend macht. (Rn. 33 – 40) (redaktioneller Leitsatz)
Schlagworte:
personenbezogene Daten, Cyberangriff, Identitätsschutz, Datensicherheit, immaterieller Schaden
Fundstellen:
LSK 2023, 20971
BeckRS 2023, 20971
ZD 2024, 54

Tenor

1. Die Klage wird abgewiesen.
2. Der Kläger hat die Kosten des Rechtsstreits zu tragen.
3. Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Vollstreckung der Beklagten durch Sicherheitsleistung in Höhe von 110% des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 1 10% des zu vollstreckenden Betrags leistet.

Tatbestand

1
Der Kläger begehrt Schadensersatz nach einem Angriff auf die Daten des Klägers.
2
Der Kläger war Kunde bei der Beklagten. Die Beklagte ist ein Wertpapierinstitut.
3
Am 06.10.2020 schloss der Kläger bei der Beklagten einen Kundenvertrag ab.
4
Dabei gab er nicht nur seinen Namen, sein Geburtsdatum, seine Adresse, E-Mail-Adresse und Telefonnummer bekannt, sondern auch seine steuerliche Identifikationsnummer bekannt.
5
Die Beklagte wurde im Jahr 2020 Opfer rechtswidriger Cyberangriffe. Der Angreifer griff auf Dokumente zu, die in einem digitalen Dokumentenarchiv abgelegt waren. Diese enthielt Kundendaten in Form von PDF-Dokumenten.
6
Am 19.10.2020 erhielt der Kläger von der Beklagten eine Benachrichtigung über einen Datenvorfall.
7
Der Kläger kündigte mit Schreiben vom 04.01.2021.
8
Der Kläger ist Student und verbrachte ein Studienjahr in Spanien, so dass er sich erst nach seiner Rückkehr näher mit dem Vorgang befasst hat.
9
Mit anwaltlichem Schreiben vom 05.12.2022 wurde die Beklagte zur Zahlung eines Schadensersatzes bis zum Ende des Jahres 2022 aufgefordert.
10
Mit Schreiben vom 13.12. 2022 lehnte die Beklagte die Ansprüche des Klägers ab.
11
Daten des Klägers wurden seitdem nicht missbraucht.
12
Der Kläger ist der Ansicht, der immaterielle Schaden ergebe sich bereits aus dem Schreiben der Beklagten vom 19.10.2020. – Darin sei im einzelnen ausgeführt, dass die personenbezogenen Daten des Klägers wie Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden, die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot sowie steuerliche Daten abgegriffen wurden.
13
Schon aus dem Schreiben der Beklagten vom 19.10.2020 ergebe sich, dass die Beklagte nicht ausreichend Vorsorge getroffen hat, damit derartige Datenlecks nicht möglich sind.
14
Das Schreiben vom 13.12.2022 zeige, dass die Beklagte dem Kläger einen Identitätsschutz durch die SCH... anbiete. Sie übertrage damit die Verantwortung des bei ihr eingetretenen Datenschutzvorfalls auf Dritte. Nach ihren Aussagen biete die SCH... regelmäßiges Monitoring von persönlichen Daten im Internet, Deep Web oder Darknet.
15
Dem Kläger persönlich sei es nicht möglich, Informationen aus dem Darknet zu beschaffen.
16
Damit dürfte im übrigen auch feststehen, dass die Beklagte nach dem Vorfall nicht umgehend alle erforderlichen Maßnahmen ergriffen habe, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen, ansonsten wäre das (erst) in dem Schreiben vom 13.12.2022 unterbreitete Angebot überflüssig.
17
Der Kläger beantragt,
1. die Beklagte zu verurteilen, an den Kläger ein in das Ermessen des Gerichts gestelltes Schmerzensgeld, jedoch nicht unter 1.000,00 € zzgl. 5% Zinsen über Basiszinssatz ab dem 01.01.2023 zu zahlen;
2. festzustellen, dass die Beklagte verpflichtet ist, dem Kläger alle materiellen zukünftigen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten im Oktober 2020 entstanden sind.
18
Die Beklagte beantragt,
die Klage abzuweisen.
19
Die Beklagte behauptet, der Zugriff sei unter Ausnutzung rechtswidrig erlangter Zugangsinformationen erfolgt. Der Angreifer habe sich mithilfe dieser Zugangsdaten Zugriff auf einen Teil des Dokumentenarchivs und der darin befindlichen Kundendaten verschafft.
20
Für den kriminellen Zugriff sei ein von der Beklagten betriebenes Dienstprogramm nicht kompromittiert wurde. Ebenso wenig sei ein bestimmter (menschlicher) Benutzer mit unternehmensinternem Wissen für den Zugriff genutzt worden. Für den kriminellen Zugriff sei ein von der Beklagten betriebenes Dienstprogramm nicht kompromittiert worden.
21
Im Vorfeld des Datenvorfalls hätten aus Sicht der Beklagten keine Anzeichen dafür vorgelegen, dass ein solcher drohen würde. Der Datenvorfall sei trotz angemessener Sicherheitsvorkehrungen nicht voraussehbar gewesen. Die Beklagte sei früher nie von Datenvorfällen betroffen gewesen.
22
Die Beklagte habe ausreichende technische und organisatorische Maßnahmen zur Gewährleistung einer angemessenen Datensicherheit getroffen. Rein vorsorglich und unter Verwahrung gegen die Beweislast stelle die Beklagte ihre zentralen umfangreichen technischen und organisatorischen Maßnahmen zum Zeitpunkt des Datenvorfalls in einer Liste (Anlage B 2) dar, die eine in jeder Hinsicht angemessene Datensicherheit gewährleisten.
23
Die Beklagte ist der Auffassung, der Kläger habe nicht einmal im Ansatz dargelegt, welche Maßnahmen er für unzureichend halte.
24
Der Kläger habe bereits keinen ersatzfähigen immateriellen Schaden gemäß Art. 82 Abs. 1 DSGVO erlitten und dargelegt sowie unter Beweis gestellt. Er habe im Übrigen auch nicht schlüssig dargelegt, dass die Beklagte gegen irgendeine Bestimmung der DSGVO, insbesondere gegen Art. 32 DSGVO, verstoßen habe.
25
Vom Datenvorfall sei beim Kläger bezogen auf das Konto lediglich die IBAN des Referenzkontos beroffen, von den steuerlichen Daten nur die Steuer-ID betroffen.
26
Zugriffsmöglichkeit auf Kundenpasswörter habe zu keinem Zeitpunkt bestanden, Vermögen sei zu keinem Zeitpunkt gefährdet gewesen.
27
Dem Kläger sei kein immaterieller Schaden entstanden. Die Daten des Klägers seien auch nach drei Jahren nicht missbraucht worden. Ebensowenig sei der Beklagten bekannt, dass andere betroffene Kunden infolge des Datenvorfalls geschädigt wurden.
28
Die Beklagte ist der Rechtsansicht, dass es für den Feststellungsantrag bereits an einem Feststellungsinteresse fehle.
29
Zur Ergänzung wird verwiesen auf die Schriftsätze der Parteien, das Protokoll der mündlichen Verhandlung vom 13.07.2023, sowie die übrigen Aktenbestandteile.

Entscheidungsgründe

30
Die Klage ist hinsichtlich des Antrags Ziffer 1. zulässig, aber unbegründet. Betreffend den Antrag Ziffer 2. ist die Klage bereits unzulässig.
31
1. Die Klage ist hinsichtlich des Feststellungsantrags in Ziffer 2. unzulässig, im Übrigen aber zulässig.
32
Ein Feststellungsinteresse liegt bezüglich des Antrags Ziffer 2. nicht vor. Bei Vermögensschäden bedarf es für die Zulässigkeit der Klage der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts (BGH, Urteil vom 26.07.2018 – ZR 274/16, NJW-RR 2018, 1301 Rn. 20, beck-online). Der Kläger als Anspruchsteller hat die Darlegungs- und Beweislast für die Tatsachen, aus denen sich die Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadens ergibt. Vorliegend ist den Ausführungen des Klägers nicht zu entnehmen, welche Nachteile ihm drohen könnten, zumal seit dem Abgreifen der Daten bereits 3 Jahre verstrichen sind, ohne dass es zu einem Missbrauch der Daten gekommen ist. Es ist kein Grund ersichtlich, wieso jetzt mit dem Eintritt eines Schadens zu rechnen wäre.
33
2. Die Klage ist in Ziffer 1. unbegründet
34
a) Der Kläger hat keinen Anspruch auf Ersatz immateriellen Schadens in Höhe von mindestens 1 .OOO € gegen die Beklagte gem. Art. 82 DGSVO.
35
Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.
36
Die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen trägt der Anspruchsberechtigte (Rn 51 zu Art.82 DS-GVO, BeckOK Datenschutzrecht, 44. Auflage, 01.05.2023, beck-online).
37
Trotz Hinweis des Gerichts in der mündlichen Verhandlung vom 13.07.2023 hat der Kläger weder dargelegt, welche Pflichtverletzung nach der DSGVO er der Beklagten vorwirft, noch welcher konkrete, immaterielle Schaden hierdurch eingetreten sein soll.
38
Aus dem Schreiben vom 19.10.202 folgt nicht ein vorheriger Verstoß der Beklagten gegen die DGSVO. Die Benachrichtigungspflicht gem. Art.34 DSGVO setzt eine „Verletzung des Schutzes personenbezogener Daten“ gem. Art. 4 Nr. 12 DSGVO voraus. Auf ein Verschulden oder eine Mitverursachung durch den Verantwortlichen kommt es hierbei nicht an (Rn 23 zu Art. 34 DGSVO, BeckOK Datenschutzrecht, 01.02.2022, 44 Auflage, beck-online)
39
Selbst wenn ein Verstoß gegen die DSGVO vorgelegen hätte, führt der Datenschutzverstoß an sich nicht zu einem Ersatzanspruch nach Art. 82 DSGVO, da der „Verstoß gegen diese Verordnung“ und der „Schaden“ zwei unterschiedliche Tatbestandsmerkmale der Vorschrift sind. Auch reicht der bloße Kontrollverlust über Daten nicht für das Vorliegen eines Schadens aus.
40
b) Mangels konkreten Schadens steht dem Kläger gegen die Beklagte auch kein Anspruch aus vertraglichen oder deliktischen Ansprüchen nach dem BGB zu.
41
3. Mangels Bestehens der Hauptforderung besteht kein Anspruch auf die geltend gemachten Nebenforderungen.
42
Die Kostenentscheidung beruht auf S. 91 ZPO. Die vorläufige Vollstreckbarkeit ergibt sich aus SS 708 Nr.l l, 711 ZPO.
43
Der Streitwert folgt aus SS 3, 5 ZPO.