Autoren-Push-Dienst "IT-Recht"

EUV 2016/679 Art 28 , EUV 2016/679 Art 33 , EUV 2016/679 Art 34 , EUV 2016/679 Art 82 , ZPO § 286 ,

Der Kläger begehrt die Zahlung von Schadensersatz, Auskunft, Unterlassung und die Feststellung der Einstandspflicht für künftige Schäden wegen der behaupteten Verletzung von Datenschutzvorschriften infolge eines Hacking-Angriffs auf Kundendaten der Beklagten.

Die Beklagte betreibt den Online-Musikstreamingdienst „www.......com“. Auf der Grundlage eines im Jahre 2016 geschlossenen Vertrages und einer am 18.7.2019 geschlossenen Nachtragsvereinbarung hat die Beklagte sich der Firma O....... mit Sitz in Israel als externem Auftragsdatenverarbeiter bedient. Der Vertrag endete zum 1.12.2019. Am 30.11.2019 teilte die Firma O....... per E-Mail der Beklagten mit, ihre Daten würden am Folgetag gelöscht (Anl. B 4). Dass dies auch tatsächlich geschehen sei, bestätigte die Firma O....... erstmalig mit E-Mail vom 22.2.2023 nach dem Bekanntwerden eines Datenhacks der Daten von Kunden der Beklagten (Anl. B 5). Seit dem 06.11.2022 haben unbekannte Hacker im sogenannten Darknet Daten von Nutzern der Beklagten zum Verkauf angeboten. Nach Bekanntwerden verfasste die Beklagte die als Anlage B 1 a in deutscher Übersetzung zu den Akten gereichte Meldung über eine Verletzung des Schutzes personenbezogener Daten an die CNIL (Commission Nationale Informatique & Libertés), auf deren Inhalt verwiesen wird. Die Beklagte informierte ferner die von dem Vorfall betroffenen Personen nach Bekanntwerden am 11.11.2022 auf der unternehmenseigenen Webseite (Anl. B 8).

Der Kläger registrierte sich bei der Beklagten am 13.03.2018 unter dem Benutzernamen „Herr J.......“ von seiner E-Mail-Adresse .......@gmx.net. Im Kundenprofil speicherte die Beklagte das Geburtsdatum des Klägers (29.04.1987) und dessen User-ID 0000000002, das aus dem Geburtsdatum des Klägers errechnete Lebensalter, Geschlecht (männlich), Sprache (deutsch) und dessen Herkunftsland (Deutschland). Der Kläger ließ mit Schriftsatz seines Prozessbevollmächtigten vom 3.3.2023 (K 1) Ansprüche wegen dieses Vorfalls mit der Behauptung von Datenschutzverstößen geltend machen und verlangte zudem Auskunft über die bei der Beklagten verarbeiteten, ihn betreffenden, Daten. Der Zugang des Aufforderungsschreibens des Klägers vom 3.3.2023 ist zwischen den Parteien streitig. Unstreitig wurden aber folgende Daten der Klagepartei bei dem streitgegenständlichen Vorfall erbeutet: Name, Geburtsdatum, Geschlecht, Herkunftsland, e-mail-Adresse, IP-Adresse, User-ID, Sprache (S. 6 Klageschrift vom 8.5.2023 und S.15 Klageerwiderung vom 29.9.2023).

Der Kläger hat Verstöße gegen die nach der DSGVO geforderten technischen und organisatorischen Schutzmaßnahmen behauptet. Die Daten seien bereits im Jahr 2019 bei der Beklagten oder deren Auftragsdatenverarbeiter abhandengekommen. Bei ausreichendem Schutzniveau bei der Beklagten und einer ausreichenden Überwachung des Dienstleisters hätte der Hackerangriff bei dem Dienstleister der Beklagten vermieden werden können. Es müsse davon ausgegangen werden, dass die Datei mit den Kundendaten der Beklagten in die Hände von Kriminellen gelangt sei, die mit Hilfe dieser Daten weitere Straftaten, wie phishing und Identitätsdiebstahl, planten. Die Beklagte habe es versäumt, die französische Aufsichtsbehörde umfassend und zeitnah über den Vorfall aufzuklären. Auch habe die Beklagte es unterlassen, die betroffenen Kunden zeitnah und umfassend über die Datenpanne aufzuklären. Die Beklagte habe verschwiegen, dass die Kundendaten im Darknet zum Verkauf angeboten worden seien. Die unbefugte Veröffentlichung der personenbezogenen Daten des Klägers habe zu einem konkreten und emotional spürbaren Nachteil geführt. Seit der Kenntnis über das Datenleck mache sich der Kläger Sorgen über den Verbleib, aber auch über einen möglichen Missbrauch seiner Daten. Der Kläger habe die berechtigte Sorge, dass es zu einem Missbrauch der abgegriffenen Daten komme in Gestalt von Identitätsdiebstahl, Passwortklau durch phishing, unzulässige Werbeanrufe und Werbemails. Die abgegriffenen und veröffentlichten Daten stellten für den Kläger ein hohes Risiko und eine erhebliche Unsicherheit dar. Die Folgen seien für den Kläger unabsehbar und die Nachteile erheblich. Zu denken sei an Werbeanrufe und Werbemails, kurzum an ein erhöhtes Spamaufkommen.

Die Beklagte hat dieses Vorbringen bestritten und unter Vorlage ihrer Ermittlungsergebnisse ausgeführt, lediglich der gestohlene Datensatz stamme aus dem Jahr 2019, der Hackingvorfall selbst habe sich erst im Jahre 2022 ereignet.

Das Landgericht hat die Klage durch Urteil vom 7.3.2024 - auf das wegen der Einzelheiten verwiesen wird - abgewiesen.

Mit der Berufung verfolgt der Kläger sein erstinstanzliches Ziel uneingeschränkt weiter. Er rügt eine Verletzung rechtlichen Gehörs durch das Erstgericht wegen unterlassener rechtlicher Hinweise und fehlender Beweiserhebung sowie fehlerhaft unterlassener Anhörung und eine fehlerhafte Rechtsanwendung. Das Landgericht habe die Reichweite des Schadensersatzanspruchs nach Art. 82 DSGVO ebenso verkannt wie die Voraussetzungen des Auskunfts- und Unterlassungsanspruchs.

Er beantragt,

1.

Das Urteil des Landgerichts Leipzig vom 07.03.2024 - Az.: 03 O 1026/23 - wird aufgehoben.

2.

Die Beklagte wird verurteilt, an die Klagepartei einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 3.000, - € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über den jeweiligen Basiszinssatz zu zahlen.

3. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klagepartei alle materiellen und immateriellen künftigen Schäden zu ersetzen, die der Klagepartei durch die unbefugte Veröffentlichung ihrer personenbezogenen Daten im Internet durch die Beklagte im Zeitraum vom 28.04.2020 bis zum 05.08.2020 entstanden sind und/oder noch entstehen werden.

4.

Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,- €, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten der Klagepartei, namentlich Familiennamen, Vornamen, Geburtsdatum, Geschlecht, Wohnort, Land, E-Mail Adresse, IP-Adresse, Anmeldedatum, Akquise-Herkunft, bevorzugte Sprache, User ID, Dritten zugänglich zu machen, ohne dass eine Einwilligung der Klagepartei oder ein berechtigtes Interesse der Beklagten vorliegt.

5.

Die Beklagte wird verurteilt, der Klagepartei Auskunft über deren personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, namentlich, welche Daten durch welche Empfänger zu welchem Zeitpunkt bei der Beklagten durch die unbefugte Veröffentlichung im Internet im Jahr 2019 erlangt werden konnten.

6.

Die Beklagte wird verurteilt, an die Klägerseite für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,- € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über den jeweiligen Basiszinssatz zu zahlen.

7.

Die Beklagte wird verurteilt, die Klägerseite von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 1.305,43 € nebst Zinsen in Höhe von 5 Prozentpunkten über den jeweiligen Basiszinssatz der EZB ab Rechtshängigkeit freizuhalten.

8.

Die Beklagte trägt die Kosten beider Rechtszüge.

Die Beklagte beantragt

Die Berufung der Klagepartei wird zurückgewiesen.

Sie verteidigt die erstinstanzliche Entscheidung und stellt die Zulässigkeit der Berufung unter dem Gesichtspunkt der fehlenden Einzelfallbezogenheit in Zweifel.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die gewechselten Schriftsätze nebst Anlagen und die Sitzungsniederschrift vom 3.9.2024 verwiesen.

II.

Die Berufung des Klägers ist zulässig (A), in der Sache aber unbegründet (B).

Nach § 520 Abs. 3 Satz 2 Nr. 2 ZPO muss die Berufungsbegründung die Umstände bezeichnen, aus denen sich nach Ansicht des Berufungsklägers die Rechtsverletzung und deren Erheblichkeit für die angefochtene Entscheidung ergeben; nach § 520 Abs. 3 Satz 2 Nr. 3 ZPO muss sie konkrete Anhaltspunkte bezeichnen, die Zweifel an der Richtigkeit oder Vollständigkeit der Tatsachenfeststellung im angefochtenen Urteil begründen und deshalb eine erneute Feststellung gebieten. Dazu gehört eine aus sich heraus verständliche Angabe, welche bestimmten Punkte des angefochtenen Urteils der Berufungskläger bekämpft und welche tatsächlichen oder rechtlichen Gründe er ihnen im Einzelnen entgegensetzt. Besondere formale Anforderungen bestehen zwar nicht; auch ist es für die Zulässigkeit der Berufung ohne Bedeutung, ob die Ausführungen in sich schlüssig oder rechtlich haltbar sind. Die Berufungsbegründung muss aber auf den konkreten Streitfall zugeschnitten sein. Es reicht nicht aus, die Auffassung des Erstgerichts mit formularmäßigen Sätzen oder allgemeinen Redewendungen zu rügen oder lediglich auf das Vorbringen erster Instanz zu verweisen (st. Rspr., vgl. z. B. BGH, Beschluss vom 7. Mai 2020 – IX ZB 62/18, juris Rn. 11; BGH, Beschluss vom 13. Juni 2017 – VIII ZB 7/16, juris Rn. 12; BGH, Beschluss vom 27. Januar 2015 - VI ZB 40/14, juris Rn. 7; BGH, Beschluss vom 30. Januar 2013 – III ZB 49/12, juris Rn. 7). Vor allem muss das Rechtsmittel die tragenden Erwägungen des angefochtenen Urteils angreifen und darlegen, warum diese aus Sicht des Berufungsklägers nicht zutreffen (BGH, Beschluss vom 30. Juli 2020 – III ZB 48/19, juris Rn. 10; BGH, Beschluss vom 10. Dezember 2015 - IX ZB 35/15, juris Rn. 7; OLG Celle, Urteil vom 4. April 2024 – 5 U 77/23 –, juris Rz. 25). Anders als die Beklagte meint, genügt die Berufungsbegründung diesen Anforderungen. Vorliegend hat sich die Klägerseite ausführlich mit den aus ihrer Sicht rechtsfehlerhaften Ausführungen des Landgerichts zu den Voraussetzungen eines Schadensersatzanspruches nach Art. 82 DSGVO auseinandergesetzt. Sie hat auch die Verletzung rechtlichen Gehörs durch das Unterlassen der Beweiserhebung zum Umfang der beim Kläger eingegangenen Spam-Mails gerügt (S. 4 Berufungsbegründung).

In der Sache ist die Berufung allerdings unbegründet.

Die Zuständigkeit des Senats für die vorliegende Entscheidung ist gegeben (1.).

Der Klagepartei steht kein Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO zu (Antrag Ziffer 1). Zwar hat die Beklagte selbst gegen ihre aus der DSGVO resultierenden Pflichten zur Überwachung ihres externen Dienstleisters verstoßen (2. a). Ob die Beklagte darüber hinaus gegen ihre eigenen Pflichten zur Einhaltung technischer Sicherheitsstandards gemäß Art. 24, 25, 32 DSGVO verstoßen hat, kann vor diesem Hintergrund offenbleiben (2 b). Der behauptete Verstoß gegen die der Beklagten nach Art. 33; 34 DSGVO obliegenden Informationspflichten hätte vorliegend keine Auswirkungen auf den begehrten Schadensersatz (2 c). Die Beklagte kann sich hinsichtlich ihres eigenen Verstoßes gegen ihre Kontrollpflichten nach Art 28 DSGVO auch nicht gemäß Art. 82 Absatz 3 DSGVO entlasten. (2 d). Aus dem Datenschutzverstoß der Beklagten ist der Klagepartei aber kein kausaler Schaden entstanden, denn einen ihm durch den streitgegenständlichen Datenverlust entstandenen emotionalen Schaden hat der Kläger nicht glaubhaft gemacht (3.). Der geltend gemachte Feststellungsanspruch ist nach der gefestigten Senatsrechtsprechung unzulässig (4.). Gleiches gilt für den begehrten Unterlassungsanspruch (5.). Der Kläger hat gegen die Beklagte auch keinen Auskunftsanspruch (6.).

Die internationale Zuständigkeit deutscher Gerichte ist gemäß Art. 18 Abs. 1 EuGVVO sowie gemäß Art. 79 Abs. 2, Satz 2 DSGVO gegeben, denn die Klagepartei hat ihren gewöhnlichen Aufenthalt in Deutschland. Der sachliche, räumliche und zeitliche Anwendungsbereich der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung ist eröffnet.

Die Beklagte ist der Klagepartei dem Grunde nach gemäß Art. 82 DSGVO zum Schadensersatz verpflichtet.

Der Verantwortliche und Auftragsverarbeiter haftet im Grundsatz nach Art. 82 DSGVO für das Handeln seiner Auftragsverarbeiter und deren Mitarbeiter jedenfalls dann, wenn dem Mitarbeiter erst durch die ihm vom Verantwortlichen oder Auftragsverarbeiter übertragene Tätigkeit die Gelegenheit gegeben wurde, auf die Rechtsgüter der betroffenen Person einzuwirken. Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür (Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/ Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 82 EUV 2016/679, Rz. 30a). Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde. Ein Abschieben der Haftung auf den Auftragsverarbeiter widerspricht auch dem Grundgedanken der Auftragsverarbeitung, wonach der Verantwortliche zwar ohne Weiteres Dritte einschalten darf, aber gegenüber der betroffenen Person verantwortlich bleibt. Der Auftragsverarbeiter ist letztlich – mit einigen formalen und inhaltlichen Anforderungen, die aus der fehlenden arbeitsrechtlichen Weisungsbefugnis und tatsächlichen Kontrollmöglichkeit herrühren – wie ein sonstiger Mitarbeiter zu behandeln (vgl. Bergt, in: Kühling/Buchner, DSGVO, 4. Auflage, 2024, Art. 82 Rn. 55 mwN).

Die Beklagte hat gegen die ihr obliegende Pflicht zur sorgfältigen Überwachung des von ihr beauftragten externen Auftragsdatenverarbeiters verstoßen, Art. 28, 32 DSGVO.

Art 28 Abs. 1 DSGVO regelt unmittelbar nur die Anforderungen an die Auswahl des Auftragsverarbeiters durch den Verantwortlichen. Dieser darf nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, „die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen“ im Einklang mit der DSGVO durchgeführt werden. Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters - im Anschluss an dessen Auswahl - ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet [...] nur mit“). Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Zugleich enthält er eine Verpflichtung der Vertragsparteien, die Details zu den Prüfrechten auszugestalten und hierdurch eine effektive Kontrolle durch den Verantwortlichen sicherzustellen (Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/ Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 28 EUV 2016/679, Rn. 61). De facto ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Durch diese vertragliche Ausgestaltung werden aber nicht nur die Pflichten des Auftragsdatenverarbeiters, sondern auch die korrespondierenden Prüfpflichten des Unternehmers konkretisiert. Ob dies auch dann gilt, wenn dem Auftragsdatenverarbeiter Pflichten auferlegt werden, die über das nach der DSGVO gebotenen Schutzniveau hinausgehen, bedarf hier entgegen der Auffassung der Beklagten im Schriftsatz vom 9.9.2024 keiner Entscheidung, weil die durch Ziff. 9 des Nachtrags geregelten Pflichten nicht über diese Mindestanforderungen hinausgehen. Wie die Beklagte im Schriftsatz vom 9.9.2024 insofern zu Recht geltend macht, ist der Auftragsverarbeiter nämlich nach Vertragsende – als Ausfluss der allgemeinen Grundsätze der „Rechtmäßigkeit“, (Art. 5 Abs. 1 lit. (a) DSGVO), der „Datenminimierung“ (Art. 5 Abs. 1 lit. (c) DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 (e) DSGVO) – verpflichtet, alle noch vorhandenen personenbezogenen Daten entweder zu löschen oder zurückzugeben (vgl. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 28 Rn. 22, 23, beck-online mit Verweisen auf Spoerr in BeckOK DatenschutzR DS-GVO Art. 28 Rn. 78). Dies entspricht Art. 9 des Nachtrags.

Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine - vollkommen praxisfremde - Vor-Ort-Kontrolle erforderlich wäre (Schaffland/Wiltfang aaO.). Gesteigerte Anforderungen ergeben sich indes, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen (Plath, a.a.O., Rz. 18). Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9, 10 DSGVO. Ungeachtet der Frage, ob die von dem zwischen der Beklagten und dem Auftragsdatenverarbeiter geschlossenen Vertrag erfassten Daten auch Daten über das Nutzerverhalten und hieraus zu erstellende Profile beinhalteten, betraf die Verarbeitung vorliegend jedenfalls nicht unbedeutende Datenmengen, deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen konnte. Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt. Diese durch die DSGVO gesetzlich aufgestellten Anforderungen werden in Ziff. 9 der am 18.7.2019 geschlossenen Zusatzvereinbarung (Anlage B 2a) Datenschutznachtrag ("Nachtrag") als Teil des Dienstleistungsvertrags vom 01. Dezember 2016 wie folgt präzisiert:

„9. BEENDIGUNG DER VERARBEITUNG

9.1

Vorbehaltlich des Abschnitts 9.2, ist der Anbieter verpflichtet, nach Wahl des Unternehmens entweder (a) eine vollständige Kopie aller Personenbezogenen Daten des Unternehmens durch sichere Dateiübertragung in einem Format, das das Unternehmen dem Anbieter in angemessener Weise mitteilt, an das Unternehmen zurückzusenden und anschließend alle anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, innerhalb von einundzwanzig (21) Kalendertagen nach dem Datum der Beendigung der Dienstleistungen, die die Verarbeitung Personenbezogener Daten des Unternehmens beinhalten (das "Beendigungsdatum"), zu löschen und für die Löschung zu sorgen oder (b) die Daten innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum zu löschen und für die Löschung aller anderen Kopien der Personenbezogenen Daten des Unternehmens, die vom Anbieter oder den Unterauftragsverarbeitern verarbeitet wurden, zu sorgen.

9.2

Der Anbieter und jeder Unterauftragsverarbeiter dürfen Personenbezogene Daten des Unternehmens nur in dem Umfang und für den Zeitraum aufbewahren, wie es die anwendbaren EU-Gesetze vorschreiben, und immer nur unter der Voraussetzung, dass der Anbieter die Vertraulichkeit aller Personenbezogenen Daten des Unternehmens sicherstellt und gewährleistet, dass diese Personenbezogenen Daten des Unternehmens nur für Zwecke verarbeitet werden, die mit denen vereinbar sind, für die sie gemäß Artikel 5.1 (b) der DSGVO erhoben wurden, und wie es die anwendbaren EU-Gesetze vorschreiben, die ihre Speicherung vorschreiben.

9.3

Der Anbieter muss dem Unternehmen schriftlich bestätigen, dass er und jeder Unterauftragsverarbeiter diesen Abschnitt 9 innerhalb von einundzwanzig (21) Kalendertagen nach dem Beendigungsdatum vollständig eingehalten haben.

In Ergänzung hierzu regelt Ziff. 10.1 des Nachtrags das Recht der Beklagten, von dem Auftragsdatenverarbeiter „alle erforderlichen Informationen“ verlangen zu dürfen, „soweit dies vernünftigerweise erforderlich ist“. Folgerichtig war die Beklagte zum einen verpflichtet, von ihrem Wahlrecht nach Ziff. 9.1. Gebrauch zu machen, d.h. entweder die Rückübertragung oder die Löschung der von dem Auftragsdatenverarbeiter gehosteten Daten innerhalb der dort genannten Fristen zu verlangen. Zum anderen war sie gehalten, die Erfüllung der den Auftragsdatenverarbeiter hiernach treffenden Verpflichtungen zu kontrollieren, also die nach dem Vertrag erforderlichen Bestätigungen einzuholen, bei deren Ausbleiben innerhalb der 21-Tage Frist die Vorlage unverzüglich anzumahnen und ggf. auch eine Vorort-Prüfung nach Art. 10 des Nachtrags vorzunehmen. Nichts davon ist hier geschehen. Dem Vortrag der Beklagten lässt sich bereits nicht entnehmen, dass diese gegenüber dem Auftragsdatenverarbeiter ihr Wahlrecht gem. Ziff. 9.1. des Nachtrags überhaupt ausgeübt hätte, ein entsprechendes Schreiben ist nicht vorgelegt worden.

Insbesondere hat sie aber dadurch gegen ihre Kontrollpflichten aus Art. 28 DSGVO verstoßen, dass sie nicht nach Ablauf der vertraglich geregelten 21-tägigen Frist von ihrer Auftragsverarbeiterin die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei dieser vorhandenen Datensätze angefordert hat, die eine detaillierte Auflistung der gelöschten Daten enthielt. Die von dem Auftragsdatenverarbeiter unter dem Datum 9.12.2020 versandte Mail genügte dessen vertraglichen Verpflichtungen nicht, schon weil sie nicht dem Schriftformerfordernis in Ziff. 9.3. (“written certification“ in der englischen Originalfassung Anlage B 2b) entsprach (in diesem Sinne auch LG Lübeck, Beschluss vom 8. Mai 2024 – 15 O 224/23 –, Rn. 16, juris). Auch wenn, wozu die Parteien nichts vorgetragen haben, der Nachtrag dem französischen Zivilrecht unterfallen sollte, wäre die elektronische Form der Schriftform nur gleichgestellt, wenn die Identität der Person, die es erstellt hat, eindeutig nachgewiesen und die Integrität der E-Mail gewährleistet wäre (Art. 1366 cc:..“sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité“). Da aus der als Anlage B4 vorgelegten anonymisierten Kopie deren Absender nicht erkenntlich ist, liegen auch diese Voraussetzungen nicht vor. Art. 28 Abs. 9 DSGVO der nur für den „Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4“ gilt, ist auf die Löschungsbestätigung, für die die Parteien ausdrücklich die Schriftform gewählt haben, nicht anwendbar. Schwerer wiegt indes, dass die E-Mail des Auftragsdatenverarbeiters vom 9.12.2020 lediglich die Ankündigung einer bevorstehenden, nicht aber die Bestätigung einer erfolgten Löschung enthielt. Die bloße Ankündigung einer Maßnahme ist jedoch - anders als die Beklagte im Schriftsatz vom 9.9.2024 meint - nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können. Indem die Bestätigung der tatsächlichen Durchführung einer vertraglich festgelegten Aufgabe eingefordert wird, minimiert der Verantwortliche das Risiko, dass es beim Auftragsverarbeiter bei der bloßen Ankündigung eines Tätigwerdens bleibt und sorgt zugleich dafür, dass der Auftragsverarbeiter in seiner eigenen Sphäre überprüft, ob die vertraglich übernommene Verpflichtung tatsächlich gewissenhaft erfüllt wurde - auch um das eigene Haftungsrisiko zu minimieren.

Die als Anlage B4 vorgelegte Löschungsankündigung des Auftragsdatenverarbeiters erfüllte aber auch unabhängig hiervon nicht die zum Zwecke und zur Sicherstellung der gesetzlichen Pflichten vertraglich festgelegten Anforderungen, weil sie sich lediglich auf „your site and all the data on the site“, d.h. die unmittelbar von der Beklagten zur Verfügung gestellte Website einschließlich der dort befindlichen Daten, nicht jedoch auf die „Löschung aller anderen Kopien der personenbezogenen Daten des Unternehmens, die vom Anbieter ... verarbeitet wurden“ erstreckte, wie es Ziff. 9.1. vorsieht. Angesichts dessen hätte sich die Beklagte mit dieser weder formal noch inhaltlich hinreichenden Ankündigung nicht zufrieden geben dürfen, sondern auf eine vollständige und rechtzeitige Löschungsbestätigung hinwirken müssen. Wäre diese auf Anforderung nicht unverzüglich vorgelegt worden, hätte sie ggf. eine nach Ziff. 10.1. des Nachtrags vorgesehene Vor-Ort Kontrolle durchführen müssen. Dies ist indes unstreitig nicht geschehen. Eine Nachfrage beim Auftragsdatenverarbeiter ist nach dem eigenen Vorbringen der Beklagten nicht vor dem Jahr 2023 erfolgt. Die als Anlage B5 vorgelegte, als „Declaration of Data Destruction“ bezeichnete E-Mail vom 22.3.2023 liegt aber weit außerhalb eines für diese nach Art. 28 DSGVO erforderliche Kontrolle vertretbaren Prüfzeitraums. Ob sie eine hinreichende Bescheinigung im Sinne von Ziff. 9 Abs. 1 des Nachtrags enthält, kann schon aus diesem Grund dahinstehen. Schließlich kann auch die Kausalität dieser Kontrollpflichtenverletzung für den streitgegenständlichen Hacking-Vorfall nicht verneint werden. Ausgehend vom Regelfall des redlichen Auftragsdatenverarbeiters muss vielmehr angenommen werden, dass die Mitarbeiter der Firma O....... spätestens auf eine Nachfrage der Beklagten reagiert und die bei ihnen noch vorhandenen Daten gelöscht hätten; jedenfalls die Ankündigung einer Vorort-Kontrolle hätte dazu geführt, dass entsprechende Aktivitäten in die Wege geleitet worden wären. Zu einem Abgreifen der Daten, das nach dem Vorbringen der Beklagten erst im Jahr 2022 erfolgt ist, wäre es dann nicht gekommen. Dass der Dienstleister unter dem Eindruck des erfolgten und ihm bekannten Datenlecks und angesichts der zu erwartenden Haftungsansprüche am 22.3.2023 nachträglich eine unrichtige Löschungsbescheinigung erteilt hat, lässt keinen Rückschluss darauf zu, dass er dies auch im Jahr 2020 getan hätte. Anders wäre dies lediglich dann, wenn der Auftragsdatenverarbeiter selbst unredlich gehandelt und die Daten deshalb nicht gelöscht hätte, um sie selbst später weiter zu veräußern oder für eigenen Zwecke zu verarbeiten. Anhaltspunkte für einen solchen Verdacht sind von der hierfür beweisbelasteten Beklagten indes nicht aufgezeigt worden. Nur in einem solchen Fall käme auch ein Auftragverarbeiterexzess gem. Art. 82 Abs. 3 DSGVO in Betracht, der die Verantwortlichkeit der Beklagten entfallen ließe (vgl. zu deren Voraussetzungen i.E. unter 2. d)). Das bloß versehentliche Nichtlöschen der Daten, das noch dazu durch eine unzureichende Kontrolle seitens der Beklagten maßgeblich erleichtert wurde, hält sich jedoch noch im Rahmen des Erwartbaren und erfüllt damit die Voraussetzungen des Art. 82 Abs. 3 DSGVO nicht.

Angesichts des Verstoßes der Beklagten gegen ihre Kontroll- und Überwachungspflichten kommt es nicht darauf an, ob sie ihrer Pflicht zur Einhaltung aller erforderlichen technischen und organisatorischen sowie personellen Sicherheitsstandards im eigenen Hause nachgekommen ist. Gleiches gilt im Ergebnis für die Einhaltung der technischen Sicherheitsstandards im Hause des Auftragsdatenverarbeiters „O.......“. Den hierauf abzielenden Behauptungen der Klägerseite war auch deshalb nicht nachzugehen, weil sie ersichtlich „ins Blaue hinein“ erfolgen. Dies gilt insbesondere für die Behauptung, der Hacking-Vorfall habe sich bereits 2019 ereignet. Hierfür ist nach den von der Beklagten vorgelegten Ermittlungsergebnissen, insbesondere den zeitnah erfolgten Meldungen an die CNIL nichts ersichtlich. Angesichts des detaillierten Vortrags der Beklagtenseite zum Zustandekommen ihrer irrtümlichen Erstmeldung, des Verweises auf die Ermittlungsergebnisse und wegen der Tatsache der Erstveröffentlichung der Daten im Jahre 2022, die eine Erbeutung der Daten bereits im Jahre 2019 als äußerst unwahrscheinlich erscheinen lassen, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, diesen Beklagtenvortrag substantiiert zu bestreiten.

Gleiches gilt im Ergebnis für die Behauptung eines Datenschutzverstoßes im direkten Verantwortungsbereich der Beklagten oder bei der Übermittlung der Daten an den Auftragsdatenverarbeiter. Steht - wie hier - ein objektiver Verstoß gegen Datenschutzvorschriften fest bzw ist unstreitig, so obliegt die Beweislast für die Einhaltung der Grundsätze des Art. 32 DSGVO allerdings dem Verantwortlichen (EuGH, Urteil vom Urteil vom 14.12.2023 - C-340/21, Rz. 57). Vorliegend steht ein solcher Verstoß jedoch lediglich im Bereich der Kontrollpflichten fest; Verstöße im eigenen Bereich der Beklagten sind jedoch nicht ersichtlich und angesichts des Umstandes, dass die Daten unstreitig bei dem Auftragsdatenverarbeiter abhandengekommen sind, auch nicht plausibel. Angesichts des Umstandes, dass die Beklagte umfangreich zu den von ihr ergriffenen Sicherheits- und Überprüfungsmaßnahmen vorgetragen und detailliert und dabei sowohl ihre IT-Infrastruktur, den von ihr benutzten Sicherheitssystemen beim IP-Transit, bei der Kommunikation als solcher, ihre Firewalls, ihre physische Zutrittskontrollen, insbesondere zu den Datenzentren dargelegt hat und auch zur Ausgestaltung ihrer Zugriffsrechte, insbesondere zu den Authentifizierungssystemen, zur Rückverfolgbarkeit, zur Isolierung der Anmeldedaten, zu Warnsystemen, und zur Bot-Analyse vorgetragen (S. 8 - 12 der Klageerwiderung) umfangreichen Sachvortrag gehalten hat, hätte es der Klagepartei nach den Grundsätzen der gestuften Darlegungslast oblegen, ihre Behauptungen zu einem vermeintlichen Datenschutzverstoß zu präzisieren.

Offenbleiben kann ebenfalls, ob die Beklagte ihre Benachrichtigungspflicht aus Art. 34 DSGVO gegenüber der Klagepartei, aus Art. 33 DSGVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DSGVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich (vgl. hierzu auch OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 147 - juris). Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen spam e-mails können nur auf dem Hacking-Vorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein.

Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DSGVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rechtsprechung des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DSGVO voraus (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, Rn 36 - juris; vgl. Moos/Schlefzig in Taeger/Gabel (Hrsg.) DSGVO, 2022, Art. 82 Rn 22). Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“.

Die Beklagte kann sich nicht nach Art. 82 Absatz 3 DSGVO entlasten.

Der Verantwortliche oder der Auftragsverarbeiter wird nach dem Wortlaut dieser Vorschrift von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. „Nicht verantwortlich“ bedeutet, dass den Verantwortlichen bzw. den Auftragsverarbeiter keinerlei Verschulden an dem Ereignis trifft, das den Schaden auslöste (Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 49; im Ergebnis auch Spindler, DB 2016, 937 ff. (947) Schaffland/Wiltfang,, a.a.O, Rz. 28). „In keinerlei Hinsicht“ bedeutet, dass der Verantwortliche bzw. der Auftragsverarbeiter nachweist, er habe alle Sorgfaltspflichten erfüllt und damit ihm nicht die geringste Fahrlässigkeit vorgeworfen werden kann (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5). Hält er alle erforderlichen technischen und organisatorischen Datensicherungsmaßnahmen ein und kommt es dennoch zu einem unbefugten Datenzugriff, kann ihm dies nicht angelastet werden (Becker in Plath, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 DS-GVO Rdn. 5; Frenzel in Paal/Pauly, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 15; Bergt in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 82 Rdn. 54; Schaffland/Wiltfang,, a.a.O, Rz. 29). Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters erstreckt sich grundsätzlich nicht auf die Fälle, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte EuGH, Urteil vom 5. Dezember 2023 – C-683/21 –, juris Rz. 85.

Vorliegend hat der Auftragsdatenverarbeiter zwar sowohl gegen allgemeine Regeln der DSGVO als auch gegen seine vertraglichen Pflichten verstoßen. Ungeachtet vertraglicher Verpflichtungen ist der Auftragsverarbeiter bereits nach der DSGVO im Rahmen der Auftragsverarbeitung grundsätzlich nicht berechtigt, die im Auftrag verarbeiteten Daten für eigene Zwecke bzw. für die Zwecke Dritter zu verarbeiten. Darüber hinaus hat der Auftragsverarbeiter die Rückgabe- und Löschpflichten nach Beendigung des Auftrags zu beachten (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Vorliegend ist unstreitig, dass Datensätze der Beklagten bei der Firma O....... zum einen unzulässigerweise von der Produktiv- in eine Testumgebung überführt wurden, deren Sphäre verlassen haben und anschließend im Darknet zum Verkauf angeboten wurden, nachdem Mitarbeiter dieser Firma entgegen ihrer Zusicherung aus dem Jahre 2023 nicht alle Datensätze der Beklagten wie vertraglich vereinbart unverzüglich nach Vertragsende gelöscht hatten, sondern zumindest einer der Datensätze schließlich entweder von Hackern erbeutet, oder von Mitarbeitern unbefugt weitergegeben wurden.

Wie oben ausgeführt, käme die Beklagte allerdings nur dann in den Genuss der Haftungsprivilegierung nach Art. 82 Abs. 3 DSGVO, wenn ihr selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies ist vorliegend angesichts des eigenen Pflichtenverstoßes der Beklagten nicht der Fall. Dem kann auch nicht das fehlende Zugriffsrecht der Beklagten nach Ablauf des Auftragsverarbeitungsverhältnisses entgegen gehalten werden; wie aufgezeigt standen hier nämlich der Beklagten die in Ziff. 9, 10 des Nachtrags geregelten nachwirkenden Kontrollmöglichkeiten offen.

Der Kläger kann aus den angeführten Verstößen der Beklagten gegen die DSGVO keinen Anspruch auf Ersatz immateriellen Schadens herleiten. Der Klagepartei obliegt die Darlegungs- und Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und dem Schaden. Dieser Beweis ist nicht erbracht worden.

Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (so EuGH Urteil vom 04.05.2023 - C - 300/21, Rn 36 - juris). Der europäische Gerichtshof stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person (vgl. EuGH, Urteil vom 20. Juni 2024 – C-590/22, Rn 28 - juris; EuGH, Urteil vom 04.05.2023 - C - 300/21, 49, 50 - juris). Allerdings muss der Schaden tatsächlich und sicher entstanden sein (vgl. EuGH, Urteil vom 04.04.2017 - C - 337/15, Rn 91 - juris). Hierbei hat der Europäische Gerichtshof in einem behaupteten Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden gesehen (vgl. EuGH, Urteil vom 04.04.2017 - C - 337/15, Rn 95 – juris).

Der Kontrollverlust der Daten und deren Veröffentlichung im Darknet hat im vorliegenden Fall zu keinem immateriellen Schaden im Sinne von Art. 82 DSGVO bei der Klagepartei geführt.

Vorliegend ist lediglich davon auszugehen, dass folgende Daten gehackt wurden: Name, Geburtsdatum, Geschlecht, Herkunftsland, e-mail-Adresse, IP-Adresse, User-ID, Sprache (S. 6 Klageschrift vom 8.5.2023 und S.15 Klageerwiderung vom 29.9.2023).

Für die Behauptung eines weitergehenden Datenverlustes ist die Klagepartei beweisfällig geblieben.

Im Falle einer klageweisen Geltendmachung von Schadensersatzansprüchen nach Art. 82 DS-GVO obliegt es der Klagepartei, die eigene Betroffenheit von einem Datenschutzvorfall mit dem Beweismaß des § 286 ZPO zur vollen Überzeugung des Gerichts nachzuweisen LG Freiburg (Breisgau), Urteil vom 24. Mai 2024 – 8 O 304/23 –, juris). Dabei begegnet die alleinige Berufung auf die Seite „........com“ deshalb Bedenken, weil dort die Herkunft der Informationen aus Gründen des Quellenschutzes grundsätzlich nicht offenlegt wird, so dass eine Überprüfbarkeit der dort aufgeführten Verstöße nicht möglich ist. Aus diesem Grunde geht der Senat davon aus, dass der bloße Hinweis auf die Ergebnismitteilung einer Anfrage bei der Internetseite https:/// ........com jedenfalls dann nicht genügt, wenn die Beklagte konkret-individuell bezogen auf die jeweilige Klagepartei darstellt, aufgrund welcher konkreten Umstände sie davon ausgeht, dass die Treffermitteilung der Webseite https:// ........com/ keine verlässliche Grundlage für die Annahme sei, dass diese tatsächlich vom streitgegenständlichen Datenvorfall betroffen ist (Senat, Hinweisbeschluss vom 18.6.2024 - 4 U 156/24; juris; LG Freiburg, a.a.O.). Vorliegend ist allerdings hiervon schon deshalb auszugehen, weil die Beklagte sich wegen der Betroffenheit des Klägers ebenfalls auf diese Website berufen hat (S. 15 Klageerwiderung vom 29.9.2023). Aus den von der Klägerseite in Bezug genommenen Anlagen K 4 und K 6 ergibt sich demgegenüber kein konkreter Bezug zum Kläger, ein weitergehender Datenabgriff lässt sich hieraus nicht ableiten.

Ein Schadensersatzanspruch folgt aus diesem Abhandenkommen allerdings nicht. Nach der Rechtsprechung des EuGH (EuGH, Urteil vom 20. Juni 2024 – C-590/22 - juris; Urteil vom 14.12.2023 C - 340/21 - juris) kann der Kontrollverlust grundsätzlich einen immateriellen Schaden begründen. Aus dieser beispielhaften Aufzählung im Erwägungsgrund Nr. 85 der „Schäden“, die den betroffenen Personen entstehen können geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 - C - 340/21, Rn 82 - juris). Allerdings muss eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (vgl. EuGH, a.a.O. Rn 84). Wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist aber gleichwohl zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH a.a.O., Rn 85). An dem Erfordernis eines kausalen Schadens hat der Europäische Gerichtshof festgehalten.

Dies deckt sich mit der Funktion des aus Art. 82 Abs. 1 DSGVO folgenden Anspruchs auf Schadensersatz, einen konkreten Schaden auszugleichen (EuGH, Urteil vom 20. Juni 2024 – C-590/22, Rn 24 – juris). Ließe man einen für den Betroffenen folgenlosen Kontrollverlust als immateriellen Schaden zu, müsste die Höhe des Schadensersatzes konsequent Null betragen. Denn für die Bemessung des Ersatzes des immateriellen Schadens kommt es letztlich im Hinblick auf die Ausgleichsfunktion des Art. 82 Abs 1 DSGVO nur auf die konkreten Auswirkungen für die betroffene Person an, nicht aber bspw. auf Strafzwecke, Schwere des Verschuldens, Schwere des Verstoßes gegen die DSGVO oder die Anzahl der Verstöße gegen die Datenschutzgrundverordnung im Hinblick auf einen Vorgang (vgl. OLG Hamm, Urteil vom 21. Juni 2024 – 7 U 154/23, Rn 48 – juris bezugnehmend auf EuGH, Urteil vom 20. Juni 2024 – C-590/22, Rn 28 ff – juris; EuGH, Urteil vom 11. April 2024 – C-741/21, Rn 64 – juris;).

Dafür sprechen zudem systematische Gründe. So wird in der Auslegung anderer Normen, die einen immateriellen Schaden voraussetzen, dieser als eine negative innere Tatsache des Geschädigten angesehen, z.B. die Trauer über den Verlust eines nahen Angehörigen; hingegen wird der Verlust des nahen Angehörigen als solcher nicht als Schaden anerkannt (EuGH, Urteil vom 10. Dezember 2015 – C-350/14, Rn 27 – juris). Wenn aber schon der Verlust eines Angehörigen an sich zur Begründung eines immateriellen Schadens nicht ausreicht, dann ist dies aus Wertungsgesichtspunkten erst recht nicht beim Verlust der Kontrolle über Daten der Fall (OLG Hamm, Urteil vom 21. Juni 2024 – 7 U 154/23, Rn 49 - juris).

Die betroffene Person muss die Tatsachen, die dazu führen können, dass ein „tatsächlich erlittener immaterieller Schaden“ infolge der Verletzung des Schutzes personenbezogener Daten anerkannt werden kann, genau und nicht nur allgemein darlegen, auch wenn er nicht eine im Voraus festgelegte Schwelle von besonderer Schwere erreicht. Entscheidend ist, dass es sich nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und auch vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen personenbezogenen Daten und die Bedeutung, die sie im Leben der betroffenen Person haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen, mit der Datenverletzung verbundenen Beeinträchtigung hat (vgl. Schlussanträge des GA Pitruzella vom 27.04.2023 - C 340/21, Rn 83 - juris).

Unter Berücksichtigung der Umstände kann hier die Befürchtung der Klagepartei, dass die Daten missbräuchlich verwendet werden, nicht als begründet angesehen werden. Zu den besonderen Umständen gehört die Art des Datums. Wird die Kontrolle über sensible Daten, wie z.B. Gesundheitsdaten, Daten über die sexuelle Orientierung, Daten über rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, Daten über Bankverbindungen, Vermögenswerte, Einkommen, Beruf oder Berufsgeheimnisse verloren, liegt eine missbräuchliche Verwendung nicht fern (vgl. Art. 9 Abs. 1 DSGVO). Insbesondere bei Daten, die den persönlichen Lebensbereich betreffen, besteht die Gefahr einer Rufschädigung oder Diskriminierung. Ebenso geht der Verlust der Kontrolle von Daten über Vermögenswerte, Bankverbindungen und Berufsgeheimnisse mit dem Risiko eines materiellen Schadens einher.

Bei der hier gehackten E-Mail-Adresse handelt es sich, ebenso wie bei der Telefonnummer um ein solches Datum, das - seiner Funktion entsprechend – der Kontaktaufnahme dient und durch andere identifizierbare Personen im alltäglichen und geschäftlichen Leben regelmäßig anderen Personen in großem Umfang zugänglich gemacht wird (vgl. OLG Köln Urt. v. 7.12.2023 - I-15 U 33/23, Rn 37 – juris; OLG Hamm, Urteil vom 21. Juni 2024 – 7 U 154/23, Rn 51 – juris). Sie stellt gerade kein besonders sensibles Datum dar, sondern eines aus der Sozialsphäre des Klägers. Mit der daneben erbeuteten IP-Adresse kann im Regelfall ein Hacker nichts anfangen, die User-ID könnte in der Verknüpfung mit dem Namen allenfalls einen Rückschluss darauf zulassen, dass die Klagepartei Nutzer eines Musik-Streaming-Dienstes ist. Welche konkrete Befürchtung die Klagepartei hieran anschließt, hat sie nicht dargelegt.

Ein Missbrauch drängt sich unter den gegebenen Umständen nicht auf. Die E-Mail-Adresse - ebenso wie etwa eine Telefonnummer - kann zwar auch missbräuchlich zur Übersendung von spam sms oder betrügerischen Anrufen genutzt werden, jedoch kann ein materieller Schaden erst dann entstehen, wenn bei einer spam-mail der mitgesendete link verwendet wird oder die betroffene Person auf einen Anruf reagiert, dem betrügerischen Anrufer Auskunft gibt oder auf dessen Aufforderung Geld überweist. Der Empfang von spam-Nachrichten o.ä. als solcher - ohne weitere negativen Folgen – stellt für sich genommen keinen immateriellen Schaden dar (vgl. EuGH, Urteil vom 20. Juni 2024 – C-590/22, Rn 34-36 – juris; OLG Hamm, Urteil vom 21. Juni 2024 – 7 U 154/23, Rn 43 - juris). Die Lästigkeit, die mit den ungebetenen Nachrichten oder Anrufen von angeblichen Bankmitarbeitern, von automatischen Ansagen sowie mit der Zusendung von angeblichen Sendungsbenachrichtigungen oder anderen spam-Nachrichten einhergeht, kann aber grundsätzlich schon deshalb nicht als begründete Befürchtung eines Mißbrauches der Daten angesehen werde, weil davon Personen, deren Daten nicht gehackt wurden, in vergleichbarer Weise betroffen sind. Es ist allgemein - und auch den Senatsmitgliedern aus eigener Erfahrung - bekannt, dass Personen, die keine Streaming-Dienste nutzen, ebenfalls viele spam-Nachrichten erhalten. Ein Zusammenhang mit dem streitgegenständlichen Datensatzverlust ist nicht nachweisbar. In den Schriftsätzen ist lediglich allgemein von Sorgen, Unwohlsein und Ängsten um einen befürchteten Identitätsdiebstahl wegen der entwendeten Daten die Rede. Dem hat die Beklagte - die sich ebenfalls wie die Klagepartei auf die Seite „........com“ beruft entgegengehalten, die auch hier betroffenen klägerischen Daten seien vor dem streitgegenständlichen Vorfall bereits mehrfach ebenfalls gehackt worden.

Eine darüber hinaus gehende emotionale Beeinträchtigung der Klagepartei ist zur Überzeugung des Senates nicht eingetreten. Die schriftsätzlich allgemein gehaltene Behauptung der Klagepartei, sie sei in einen Zustand großen Unwohlseins und Sorge über einen möglichen Missbrauch geraten, genügt diesen Darlegungsanforderungen nicht. Die Ausführungen sind schon nicht auf die konkrete Person der Klagepartei bezogen, sondern werden in einer Vielzahl von Klagen gleichlautend wiederholt. Allgemeine Sorgen, Ängste und Unwohlsein sind alltägliche Empfindungen, die keine begründete Befürchtung rechtfertigen. Erforderlich ist vielmehr der konkrete Nachweis eines realen und sicheren emotionalen Schadens (vgl. Schlussanträge des Generalanwaltes Pitruzzella vom 27.04.2023 - C -340/21, Rn 82, 83, - juris). Da im Allgemeinen jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen kann (vgl. Schlussanträge des Generalanwaltes Campos Sanchez-Bordona von 06.10.2022 - C 300/21, Rn 113 - juris) und ein Schadensersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergibt, einem „Schadensersatz ohne Schaden“ recht nahe kommt, der nicht von Art. 82 erfasst ist (vgl. EuGH, Urteil vom 04.05.2023 - C - 300/21, Rn. 36 ff - juris), reicht demgegenüber allein der potenzielle oder hypothetische Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten nicht aus (vgl. Schlussanträge des Generalanwaltes Collins vom 26.10.2023 - C 182/22, Rn 24 - juris).

Der Kläger hat einen darüber hinausgehenden emotionalen Schaden nicht glaubhaft gemacht. Das Landgericht hat ihn hierzu angehört und sich nicht davon überzeugen können, dass die von ihm geschilderten Beeinträchtigungen die konkrete Befürchtung eines immateriellen Schadens rechtfertigen. Zur Vermeidung von Wiederholungen nimmt der Senat hierauf Bezug. Diese Beweiswürdigung bietet keinen Anlass, an der Richtigkeit und Vollständigkeit der zugrunde liegenden Feststellungen zu zweifeln und ist daher nach § 529 ZPO auch für das Berufungsverfahren zugrunde zu legen. Eine besondere Belastung hat der Kläger bereits nicht geschildert, sondern lediglich angegeben, dass er „seit Jahren wöchentlich mehr spam-mails“ bekomme. Dabei hat er weder den Beginn der spam-mails noch den Umfang auch nur ungefähr angegeben. Ob und gegebenenfalls welche Konsequenzen er aus dem dann ihm von einer Anwaltskanzlei mitgeteilten Datenverlust bei D....... gezogen hat, hat er ebenfalls nicht mitgeteilt. Ebensowenig hat er aus dem Datenverlust resultierende Befürchtungen geäußert. Aus diesen Umständen kann der Senat keine Schlüsse auf ein irgendwie geartetes Unwohlsein des Klägers ziehen, das über dasjenige hinausgeht, das alle sich im Internet bewegenden Privatpersonen erdulden, die mit ungebetenen Nachrichten konfrontiert werden, bei denen im Dunkeln bleibt, woher der Kontaktaufnehmende die für die Spam-Nachrichten erforderlichen Daten erhalten hat. Der Senat ist auch nicht gehalten, ergänzend Beweis zu erheben über das tatsächliche Aufkommen von Spam-Mails und den mit der Löschung dieser Mails gegebenenfalls verbundenen Aufwand, wie die Berufungsbegründung reklamiert. Denn selbst mit der Berufungsbegründung hat der Kläger hierzu keinerlei konkrete Behauptungen aufgestellt, die einer Beweisaufnahme zugänglich wären. Bei einer Beweiserhebung würde es sich um unzulässige Ausforschung handeln.

Der Klagepartei steht kein Anspruch auf Feststellung der Verpflichtung der Beklagten, alle künftigen (materiellen) Schäden zu erstatten, zu. Der Antrag ist bereits unzulässig, weil ihm das Rechtsschutzbedürfnis fehlt, § 256 ZPO.

Grundsätzlich hängt die Zulässigkeit einer Feststellungsklage bei reinen Vermögensschäden von der Wahrscheinlichkeit eines auf die Verletzung zurückzuführenden Schadenseintrittes ab (vgl. BGH, Urteil vom 10.07.2014 - IX ZR 197/12, Rn. 11 - juris). Ausreichend ist, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann (BGH, a.a.O.). Bei der Verletzung eines absoluten Rechtes genügt aber die ausreichende Möglichkeit des Eintrittes eines Schadens (vgl. BGH, Urteil vom 29.06.2021 - VI ZR 52/18, Rn. 30 - juris). Die Möglichkeit materieller Schäden reicht hier für die Annahme eines Feststellungsinteresses mithin aus (so BGH, Urteil vom 29.06.2021 - VI ZR 52/18, Rn. 30 - juris). Ein Feststellungsinteresse ist nur dann zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines derartigen Schadens wenigstens zu rechnen (vgl. BGH, Beschluss vom 09.01.2007 - VI ZR 133/06, Rn. 5 - juris). Dies ist der Fall. Vorliegend ist auch zwei Jahre nach dem Vorfall kein Schaden eingetreten. Die Klagepartei macht zwar geltend, dass gleichwohl in der Zukunft aufgrund der Veröffentlichung ihrer Daten eine erhebliche Belästigung durch betrügerische Spam-Nachrichten und Anrufe möglich sei und dass die Gefahr eines Identitätsdiebstahls bestehe. Diese Auffassung teilt der Senat schon deshalb nicht, weil die Wahrscheinlichkeit eines Schadenseintritts mit zunehmender Distanz zum Hacking-Ereignis abnimmt und sich der Kausalzusammenhang dadurch immer schwerer beweisen lässt. Dies gilt umso mehr, als die Suchergebnisse auf der Seite „........com“, auf die sich in Teilen jedenfalls auch der Kläger beruft, zumindest nahelegt, dass der Kläger auch anderweitig schon mehrfach von Hacking-Angriffen betroffen war, ohne dass bislang irgendein kausaler materieller Schaden entstanden ist. Es bestehen auch keine konkreten Anhaltspunkte dafür, dass der Klagepartei eine Gefährdung ihres Vermögens drohen könnte. Deshalb kann nach alledem davon ausgegangen werden, dass mit dem Eintritt eines materiellen Schadens nicht mehr zu rechnen ist (vgl. OLG Bamberg, Urteil vom 11. Juni 2024 – 10 U 58/23 e, Rn 30 – juris; OLG München, Urteil vom 24. April 2024 – 34 U 2306/23 e, Rn 39 -juris; OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn. 215 - juris).

Die Auffassung des OLG Stuttgart (Urteil vom 22.11.2023 – 4 U 20/23 - Rn 233 ff. - juris), das Feststellungsinteresse sei bereits infolge des Kontrollverlusts über die Daten gegeben, teilt der Senat nicht. Dem Vortrag der Klagepartei lassen sich keine Anhaltspunkte dafür entnehmen, dass im Hinblick auf die konkret betroffenen Daten und sein Verhalten noch ein materieller Schaden drohen könnte (vergleiche auch OLG Hamm, Urteil vom 21. Juni 2024 – 7 U 154/23, Rn 64 – juris und Urteil vom 15.08.2023 – 7 U 19/23 – juris, Rn. 214 ff., so auch OLG München, Urteil vom 24. April 2024 – 34 U 2306/23 –, Rn 40 - juris; OLG Köln, Urteil vom 07.12.2023 - 15 U 33/23 - juris).

Die Klagepartei hat keinen Anspruch auf Unterlassung gemäß Ziffer 4. ihres Antrages. Der Antrag ist zu unbestimmt und daher unzulässig.

Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Dies ist bei einem Unterlassungsantrag regelmäßig der Fall, wenn die konkret angegriffene Verletzungsform antragsgegenständlich ist (vgl. BGH; Urteil vom 09.03.2021 - VI ZR 73/20, Rn 15 - juris).

Im vorliegenden Fall begehrt die Klagepartei die Unterlassung, bestimmte Daten Dritten zugänglich zu machen, ohne dass eine Einwilligung der Klagepartei oder ein berechtigtes Interesse der Beklagten vorliegt. Damit würde die Prüfung der Frage, ob die Voraussetzungen vorliegen, in das Vollstreckungsverfahren verlagert werden. Schon die Formulierung „berechtigtes Interesse“ ist unbestimmt und bedarf der Subsumtion im konkreten Einzelfall. Dies kann nicht auf der Vollstreckungsverfahren abgewälzt werden. Ebensowenig kann die Prüfung der Frage, ob eine ausreichende Einwilligung vorliegt auf das Vollstreckungsverfahren verlagert werden.

Darüber hinaus ist auch die beantragte Androhung nach § 890 Abs. 2 ZPO unzulässig. Die Titulierung einer Unterlassungsverpflichtung kann - auch unter Berücksichtigung der Grundsätze der Effektivität und Äquivalenz - eine gleichfalls nach § 890 ZPO vollstreckbare Verpflichtung zur Handlung nur beinhalten, wenn der Schuldner der Pflicht zur Unterlassung ausschließlich genügen kann, indem er die hierfür erforderliche positive Handlung vornimmt. Ob ein Titel Handlungspflichten auferlegt oder Unterlassung fordert, ist im Wege der Auslegung mit Blick auf den Schwerpunkt der jeweils in Rede stehenden Verpflichtung zu beurteilen (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 221 - juris).

Vorliegend fordert die Klagepartei mit dem Antrag im Schwerpunkt ein aktives Tun, das nicht nach § 890 ZPO, sondern als vertretbare Handlung nach § 887 ZPO zu vollstrecken ist. Die Klagepartei will gar kein Unterlassen der Datenverarbeitung durch die Beklagte, sondern sie will, dass sie die von der Beklagten bereitgestellten Dienste und die Datenverarbeitung durch diese unter dem Vorbehalt der Einwilligung oder des berechtigten Interesses erfolgen.

Der Klagepartei steht kein Anspruch auf Auskunft nach Art. 15 DSGVO zu.

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und bestimmte weitere Informationen. Gemäß Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung (vgl. OLG Hamm im Urteil vom 15.08.2023 - 7 U 19/23, Rn 244 ff. - juris).

Vorliegend ist der Auskunftsantrag auf eine objektiv unmögliche Leistung gerichtet, weil er Auskünfte über eine unbefugte Veröffentlichung im Jahre 2019 verlangt. Lediglich die Datensätze stammten aus dem Jahr 2019. Die Beklagte hat vorgetragen, dass der Datenverlust im Jahre 2022 erfolgte, so dass Auskünfte über einen vorherigen - nicht bekannten - unbefugten Datenhack im Jahre 2019 nicht möglich sind. Da die Klagepartei die volle Beweislast für den Kontrollverlust ihrer Daten trägt (s.o.), hätte es ihr im Falle des Bestreitenwollens oblegen, substantiiert und unter Beweisantritt für das Gegenteil zu einer illegalen Weitergabe bereits im Jahre 2019 vorzutragen. Dies ist nicht erfolgt. Unabhängig davon ist die verlangte Auskunft auch insoweit unmöglich und damit nach § 275 BGB nicht geschuldet, als sie auf Herausgabe und Mitteilung von Daten gerichtet ist, über die die Beklagte nicht verfügt.

Nur der Ergänzung halber ist auszuführen, dass auch bei unterstellter Antragstellung, gerichtet auf eine unbefugte Datenweitergabe im Jahre 2022 der Anspruch nicht bestünde, denn dieser wäre durch Erfüllung erloschen.

Erfüllt im Sinne des § 362 Abs. 1 BGB ist ein Auskunftsanspruch grundsätzlich dann, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist daher die - gegebenenfalls konkludente - Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist. Die Annahme eines derartigen Erklärungsinhalts setzt demnach voraus, dass die erteilte Auskunft erkennbar den Gegenstand des berechtigten Auskunftsbegehrens vollständig abdecken soll. Daran fehlt es beispielsweise dann, wenn sich der Auskunftspflichtige hinsichtlich einer bestimmten Kategorie von Auskunftsgegenständen nicht erklärt hat, etwa weil er irrigerweise davon ausgeht, er sei hinsichtlich dieser Gegenstände nicht zur Auskunft verpflichtet. Dann kann der Auskunftsberechtigte eine Ergänzung der Auskunft verlangen (vgl. BGH Urt. v. 15.6.2021 - VI ZR 576/19, - juris).

Vorliegend hat der Kläger zwar ein vorgerichtliches Auskunftsgesuch vorgelegt (Anlage K1) das die Beklagte nicht beantwortet hat. Die Beklagte hat aber unwidersprochen vorgetragen, dass sie ein solches Schreiben vom Kläger niemals erhalten hat. Der Kläger ist dieser Behauptung nicht entgegengetreten, so dass erstmalig für die Beklagte wahrnehmbar das Auskunftsersuchen mit der Klage erfolgte.

Mit den Ausführungen in der Klageerwiderung hat die Beklagte zu erkennen gegeben, dass und über welche Datensätze bezüglich des Klägers sie verfügt und dass ihr darüberhinausgehende Auskünfte darüber, durch welche Empfänger diese Daten erlangt werden konnten nicht möglich sind. Sie hat damit zu erkennen gegeben, dass sie vollständig Auskunft erteilt hat. Es ist nicht ersichtlich und die Klagepartei trägt auch nicht vor, woher der Beklagten die Identität der Hacker bekannt sein soll.

Da der Auskunftsanspruch erfüllt ist, stehen dem Kläger ungeachtet der Ausführungen unter Zif. 4. auch keine Ansprüche auf Ersatz immaterieller Schäden wegen Nichterteilung der Auskunft zu.

Mangels Hauptansprüchen kommt ein Ersatz vorgerichtlicher Rechtsverfolgungskosten nicht in Betracht.

Die Entscheidung über die Kosten folgt aus § 91 Abs.1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 ZPO.

Die Revision war gemäß § 543 Abs.2 Nr. 2 ZPO zur Sicherung einer einheitlichen Rechtsprechung zuzulassen. Es sind Tausende von Parallelverfahren in Deutschland anhängig. Soweit die Zulässigkeit der Feststellungsklage betroffen ist, weicht der Senat zudem von der Rechtsprechung des OLG Stuttgart (Urteil vom 22.11.2023 - 4 U 20/23, Rn 238 - juris) ab.

Die Streitwertfestsetzung beruht auf § 3 ZPO. Zur Begründung wird auf die Beschlüsse des Senates vom 29.7.2024 (4 W 306/24) und vom 31.07.2023 (4 W 396/23 und 4 W 388/23 - jeweils nach juris) Bezug genommen.

Leitsatz

Verfahrensgang

Langtext

Tenor

Gründe

Schlagworte