Kein Schadensersatz für Nutzer einer Musik-Streaming-Plattform nach Datenleck durch Hackerangriff
OLG Nürnberg v. 19.9 2024 - 14 U 1227/24
Der Sachverhalt:
Die Beklagte betreibt in Europa einen Musik-Streaming-Dienst. Unbekannte Dritte hatten personenbezogene Daten der Nutzer der Beklagten in der Vergangenheit unberechtigt entwendet und boten die Datensätze zunächst zum Verkauf im Darknet und später für jedermann frei zugänglich zum Herunterladen an.
Der von dem Datenabgriff betroffene Kläger machte mit seiner Klage als Ausgleich für einen behaupteten Datenschutzverstoß die Zahlung eines Schmerzengeldes in Höhe von mindestens 1.000 € sowie weitere Ansprüche geltend. Er habe aufgrund des Vorfalls einen Kontrollverlust über seine personenbezogenen Daten erlitten und sei wegen der möglichen Missbrauchsgefahr in großer Sorge. Auch erhalte er seit dem Vorfall Spamnachrichten an seine E-Mail-Adresse. Zwischen den Parteien war streitig, ob die Beklagte hinreichende technische und organisatorische Maßnahmen zur Verhinderung von Datenabgriffen vorgehalten hatte.
Das LG wies mit Urteil vom 15.5.2024 die Klage ab (10 O 5225/23). Die Berufung hat der Kläger nun zurückgenommen, nachdem ihn das OLG in seinem Beschluss auf die Erfolgslosigkeit seines Rechtsmittels hingewiesen hatte. Das Urteil des LG ist damit rechtskräftig.
Die Gründe:
Der Kläger konnte einen Kausalzusammenhang zwischen dem behaupteten Datenschutzverstoß und einem Schaden nicht nachweisen. Die Beklagte haftet lediglich für Schäden, die durch eine rechtswidrige Datenverarbeitung verursacht wurden. Eine unbefugte Offenlegung von personenbezogenen Daten durch Dritte allein genügt nicht, um auf einen Datenschutzverstoß der Beklagten zu schließen.
Vorliegend hat der Kläger nicht ausreichend vorgetragen, dass der spätere Datenabgriff gerade auf unzureichende Schutzmaßnahmen der Beklagten zurückzuführen ist. Auf eine Vermutungswirkung kann sich der Kläger in diesem Zusammenhang nicht berufen. Bezüglich der Spam-Mails konnte ebenfalls kein kausaler Schaden festgestellt werden. Es besteht die Möglichkeit, dass der Kläger seine personenbezogenen Daten an anderer Stelle weitergegeben hat oder diese an anderer Stelle abgegriffen wurden. Es konnte daher offenbleiben, ob die Beklagte zurechenbar gegen die Datenschutz-Grundverordnung verstoßen hat oder nicht.
+++ Hinweis +++
Am LG Nürnberg-Fürth sind erstinstanzlich bislang 102 gleichgelagerte Verfahren eingegangen. Alle bereits durch Urteil entschiedenen Verfahren, mehr als die Hälfte (Stand heute), endeten mit einer Klageabweisung. Ein Teil der Verfahren befindet sich noch in der Berufungsinstanz.
Mehr zum Thema:
Aufsatz:
Schadenersatz bei Verstößen gegen die DSGVO
Carlo Piltz / Ilia Kukin, CR 2024, 577
Beratermodul Datenschutzrecht:
Das weitgreifende Komplettangebot zum deutschen und europäischen Datenschutzrecht deckt die DSGVO, das TTDSG und das BDSG ab. Mit Top-Inhalten aus den Verlagen Dr. Otto Schmidt und C.F. Müller. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!
LG Nürnberg-Fürth PM Nr. 32 vom 16.10.2024
Die Beklagte betreibt in Europa einen Musik-Streaming-Dienst. Unbekannte Dritte hatten personenbezogene Daten der Nutzer der Beklagten in der Vergangenheit unberechtigt entwendet und boten die Datensätze zunächst zum Verkauf im Darknet und später für jedermann frei zugänglich zum Herunterladen an.
Der von dem Datenabgriff betroffene Kläger machte mit seiner Klage als Ausgleich für einen behaupteten Datenschutzverstoß die Zahlung eines Schmerzengeldes in Höhe von mindestens 1.000 € sowie weitere Ansprüche geltend. Er habe aufgrund des Vorfalls einen Kontrollverlust über seine personenbezogenen Daten erlitten und sei wegen der möglichen Missbrauchsgefahr in großer Sorge. Auch erhalte er seit dem Vorfall Spamnachrichten an seine E-Mail-Adresse. Zwischen den Parteien war streitig, ob die Beklagte hinreichende technische und organisatorische Maßnahmen zur Verhinderung von Datenabgriffen vorgehalten hatte.
Das LG wies mit Urteil vom 15.5.2024 die Klage ab (10 O 5225/23). Die Berufung hat der Kläger nun zurückgenommen, nachdem ihn das OLG in seinem Beschluss auf die Erfolgslosigkeit seines Rechtsmittels hingewiesen hatte. Das Urteil des LG ist damit rechtskräftig.
Die Gründe:
Der Kläger konnte einen Kausalzusammenhang zwischen dem behaupteten Datenschutzverstoß und einem Schaden nicht nachweisen. Die Beklagte haftet lediglich für Schäden, die durch eine rechtswidrige Datenverarbeitung verursacht wurden. Eine unbefugte Offenlegung von personenbezogenen Daten durch Dritte allein genügt nicht, um auf einen Datenschutzverstoß der Beklagten zu schließen.
Vorliegend hat der Kläger nicht ausreichend vorgetragen, dass der spätere Datenabgriff gerade auf unzureichende Schutzmaßnahmen der Beklagten zurückzuführen ist. Auf eine Vermutungswirkung kann sich der Kläger in diesem Zusammenhang nicht berufen. Bezüglich der Spam-Mails konnte ebenfalls kein kausaler Schaden festgestellt werden. Es besteht die Möglichkeit, dass der Kläger seine personenbezogenen Daten an anderer Stelle weitergegeben hat oder diese an anderer Stelle abgegriffen wurden. Es konnte daher offenbleiben, ob die Beklagte zurechenbar gegen die Datenschutz-Grundverordnung verstoßen hat oder nicht.
+++ Hinweis +++
Am LG Nürnberg-Fürth sind erstinstanzlich bislang 102 gleichgelagerte Verfahren eingegangen. Alle bereits durch Urteil entschiedenen Verfahren, mehr als die Hälfte (Stand heute), endeten mit einer Klageabweisung. Ein Teil der Verfahren befindet sich noch in der Berufungsinstanz.
Aufsatz:
Schadenersatz bei Verstößen gegen die DSGVO
Carlo Piltz / Ilia Kukin, CR 2024, 577
Beratermodul Datenschutzrecht:
Das weitgreifende Komplettangebot zum deutschen und europäischen Datenschutzrecht deckt die DSGVO, das TTDSG und das BDSG ab. Mit Top-Inhalten aus den Verlagen Dr. Otto Schmidt und C.F. Müller. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!