Stufenklage bei DSGVO-Schadensersatzanspruch nur eingeschränkt möglich
Leitsatz
Stufenklage bei DSGVO-Schadensersatzanspruch nur eingeschränkt möglich
Tenor
In dem Rechtsstreit (...) wegen Schadensersatz nach Datenschutzverletzung hat das Landgericht Stuttgart - 14. Zivilkammer - durch (...) als Einzelrichterin aufgrund der mündlichen Verhandlung vom 28.10.2020 für Recht erkannt:
1. Die Klage wird abgewiesen,
2. Die Klägerin trägt die Kosten des Rechtsstreits.
3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden betrages vorläufig vollstreckbar.
4. Der Streitwert wird auf 5.001,00 € festgesetzt.
Sachverhalt
Die Beklagte ist die europäische Tochtergesellschaft eines Anbieters von Zahlungskarten.
Die Klägerin nutzt eine Mastercard und hat mit der Beklagten einen Vertrag geschlossen über die Teilnahme am sog. „Priceless Specials"-Bonusprogramm. Dabei handelt es sich um ein von der Beklagten betriebenes Marketing- und Kundenbindungsprogramm, in dessen Rahmen sich Kunden der Beklagten registrieren konnten, um bei Kreditkarten-Transaktionen Bonuspunkte zu sam¬meln. Diese konnten gegen Gutscheine für Sach- ooder Dienstleistungen eingelöst werden.
Am 19. August 2019 verschafften sich Unbekannte rechtswidrig Zugang zu Nutzerdaten des Bonusprogramms und veröffentlichten im Internet Daten von ca. 90.000 Teilnehmern des Bonuspro¬gramms, darunter der Klägerin (vgl. hierzu auch den als Anlage K 2 vorgelegten Artikel aus der Süddeutschen Zeitumg vom 21.08.2019).
Vor dem Hintergrund dieses Datenschutzvorfalls macht die Klägerin im Wege der Stufenklage Ansprüche gegen die Beklagte geltend.
Mit Schreiben vom 22.08.2019 (Anlage K 1) informierte die Beklagte sämtliche Programmteilnehmer des Bonusprogramms, darunter die Klägerin, über den Vorfall und teilte unter der Überschrift „Welche Informationen waren betroffen" u.a. mit:
„Basierend auf den zu diesem Zeitpunkt bekannten Fakten sind die folgenden Daten betroffen: Name, Geburtsdatum, Geschlecht, Postanschrift, E-Mäil-Adresse, Telefonnummer und möglicherweise ihre Zahlungskartennummer, die Sie genutzt haben, um sich im Programm zu registrieren. Weder Ihre Anmeldetaien noch ihre Passwörter wurden offengelegt. Das Ablaufdatum und die Prüfnummer (CVQ) ihrer Zahlungskarte wurden nicht offengefegt."
In der Folgezeit kam es zu einem umfangreichen Schriftwechsel zwischen den Parteien (vgl. An¬lagen K 3 - K 7), in dem es im Wesentlichen auch um die Frage ging, ob der Klägervertreter eine Bevollmächtigung durch die Klägerin in ausreichendem Umfang nachgewiesen hatte.
Mit Schreiben vom 18.05.2020 (Anlage B 8) erteilte die Beklagte weitere Auskünfte.
Mit Schreiben vom 12.10.2020 (Anlage B 17) übersandte die Beklagte eine „erweiterte Aufstellung der personenbezogenen Daten, die Mastercard in Bezug auf (die Klägerin) verarbeitet", nämlich zusätzliche Informationen über individuelle Transaktionen, die die Klägerin im Rahmen des „Pri¬celess Specials" Programms vorgenommen hat, die von der Klägerin gesammelten „Coins“ und IP-Adressen und Login-Daten, die sich auf die Nutzung der Priceess Specials Plattform durch die Klägerin beziehen einschließlich Datum und Uhrzeit der verfügbaren Login Informationen.
Die Klägerin trägt im Wesentlichen vor:
Die begehrten Auskünfte könne sie aus Art. 15 Abs. 1 S. 1 HS 1 DSGVO verlangen. Neben dem Auskunftsanspruch bestünde ohnehin eine Informationspflicht gemäß Art. 34 DSGVO. Aus Art. 82 Abs. 1 DSGVO stehe ihr ein Schadensersatzanspruch zu, der materielle und immaterielle Schäden umfasse. Ein Schaden liege bereits im Verlust der Privatheit der Daten, nachdem Informationen über die Klägerin, die sowohl für seriöse Unternehmen wie auch für Kriminelle einen Wert hätten, entwendet worden seien. Datensätze, die als Grundlage für Indentitätsdiebstahl dienen könnten, kosteten zwischen 4 und 10 US-Dollar pro Paket.
Eine Bezifferung des Schadensersatzanspruchs könne erst nach Auskunftserteilung vorgenommen werden, da bislang unbekannt sei, in welchem Umfang die Klägerin vom Datendiebstahl bei der Beklagten betroffen sei.
Im Einzelnen gelte insbesondere:
Zu Antrag Ziff. 1a aa): Insbesondere sei die Auskunft der Beklagten hinsichtlich der von ihr gespeicherten Kreditkarten nummern unvollständig, ebeonso hinsichtlich der von der Klägerin auf der Plattform „Priceless Specials“ gesammelten Coins und der IP-Adressen, mit denen auf den Account der Klägerinzugegriffen worden sei zusammen mit dem jeweiligen Zeitunkten und sonstigen Meta-Daten über die Aktivitäten der Klgäerin auf der Priceless Specials Plattform. Die Beklagte habe nicht mitgeteilt, ob die Daten der Klägerin, ua. deren Passwort, vom Datenschutzvorfall betroffen und nun in der Hand von Kriminellen seien. Nicht mitgeteilt sei auch, welche Transaktiio- nen die Klägerin mit ihren Coins vorgenommen habe, welche Prämien sie erhalten habe usw.
Zu 1 a bb): Der Klägerin sei unklar, ob die Täter außer den veröffentlichten Daten zusätzliche Informationen - und wenn ja welche - kopieren konnten.
Die Klägerin beantragt zuletzt unter Erledigungserklärung im Übrigen (betreffend Antrag a) cc) bzgl. Ablaufdatum der Kreditkarte spwoe Antrag a) aa) bzgl. Daten über Einkaufsverhalten):
Die Beklagte wird verurteilt,
a) der Klägerin Auskunft darüber zu erteilen,
aa) welche personenbezogenen Daten der Klägerin - mit Ausnahme der Daten im Hinblick auf das Einkaufsverhalten der Klägerin - sie im Rahmen des Bonusprogramms „Priceless Specials“ verarbeitet,
bb) welche dieser Informationen von Dritten entwendet wurden
cc) insbesondere ob die Prüfziffer der Kreditkarten betroffen sind
dd) welche Daten entsprechend dem PCI DSS Standard gespeichert wurden
ee) ob und wenn ja welche Daten verschlüsselt gespeichert wurden
ff) seit wann die Daten der Klägerin der Sicherheitslücke ausgesetzt waren und
gg) ob die Sicherheitslücke durch mehrere Unbefugte ausgenutzt wurde.
b) erforderlichenfalls die Richtigkeit und Vollständigkeit ihrer Angaben an Eides Statt zu versi¬chern.
c) an die Klägerin Schadensersatz in einer nach Erteilung der Auskunft noch zu bestimmenden Höhe nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechthängigkeit zu zahlen.
Die Beklagte beantragt Klagabweisung.
Die Beklagte trägt vor:
Erstmals mit der am 20.04.2020 zugegangenen Klage vom 18.03.2020 sei eine ordnungsgemäße Legitimation erfolgt. Zuvor sei das Auskunftsverlangen stets zurückzuweisen gewesen, nachdem der Prozessbevollmächtigte der Klägerin trotz Aufforderung keine ausreichende Vollmacht der Klägerin vorgelegt habe. Insbesondere die am 30.12.2019 übermittelte Kopie einer angeblich digital erteilten Vollmacht stelle keine Originalvollmacht dar. Nachdem bei außergerichtlichen Auskunftsverlangen von Anwälten namens ihrer Mandaten die Frist des Art. 12 Abs. 3 DSGVO erst mit Vorlage der Originalvollmacht zu laufen beginne, sei die Auskunft fristgerecht erteilt worden.
Die Stufenklage sei bereits unzulässig.
In Bezug auf Klaganträge 1 a bb) und cc) bestehe kein Rechtsschutzbedürfnis, die begehrten Informationen seien der Klägerin bekannt. Die Klägerin liste auf S. 6 der Klage selbst die betroffenen Nutzerdaten auf und stelle fest, dass auch ihre Daten hiervon erfasst seien. Die mit Antrag 1 a cc) begehrten Informationen seien erteilt, nachdem die Beklagte unmittelbar nach Bekanntwerden des Datenschutzvorfalls mitgeteilt habe, Ablaufdatum und Prüfziffern der Kreditkarten seien nicht betroffen.
In Bezug auf Anträge a) dd) bis gg) ergebe sich die Unzulässigkeit vor folgendem Hintergrund: Es könnten keine Auskünfte verlangt werden, die der Klägerin erst die Beurteilung ermöglichen sollen, ob ihr ein Anspruch dem Grunde nach zusteht und mit denen sie sich nur Informationen für die weitere Rechtsverfolgung verschaffen wolle.
Nur Anträge Ziff. 1a aa) bis cc) zielten überhaupt auf die Frage, welche Daten der Klägerin betreffen gewesen seien. Alle weiteren Fragen dienten nicht der Bezifferung der auf 3. Stufe behaupteten Schadensersatzansprüche, sondern nur der Substantiierung etwaiger Ansprüche dem Grunde nach sowie der Erlangung grundsätzicher Informationen für die weitere Rechtsverfolgung der Klägerin.
Jedenfalls seien die geltend gemachten Auskunftsansprüche unbegründet. Die begehrte Auskunft nach Art. 15 Abs. 1 DSGVO sei der Klägerin bereits erteilt worden. Ein über die erteilten Auskünf¬te hinausgehender Anspruch der Klägerin auf die mit Klaganträgen 1 a bb) bis gg) begehrten In¬formationen seien nicht von Art. 15 Abs. 1 DSGVO gedeckt und jedenfalls wegen Rechtsmissbrauchs ausgeschlossen.
Sie habe alle datenschutzrechtlichen Vorgaben erfüllt. Die Klägerin habe dementsprechend auch keinen konkreten Datenschutzverstoß der Beklagten behauptet. Die Beklagte habe auch unmittelbar nach Bekanntwerden des Vorfalls alle gebotenen Maßnahmen zur sofortigen Wiederherstellung der Datensicherheit ergriffen, insbesondere auch umfassende Maßnahmen gegen Identitätsdiebstähle und zur Betrugspräventiion eingeleitet und so einen Missbrauch der Daten verhindern können. Da die für die Nutzung des Bonusprogramms genutzten Daten von den sonstigen IT-Systemen der Beklagten getrennt seien, seien diese nicht vom Datenschutzvorfall betroffen gewesen. Insbesondere sei es nicht zu einer Offenlegung von Ablaufdaten und Sicherheitscodes der Kreditkarten gekommen. Daher könnten die vom rechtswidrigen Zugang betroffenen Daten auch nicht für missbräuchliche Zahlungen verwendet werden.
Bis heute sei kein Fall bekannt, in dem die Daten nachweislich zu rechtsmissbräuchlichen Zwecken verwendet worden seien.
Zur Ergänzung des Sach- und Streitstandes wird Bezug genommen auf die Schriftsätze der Parteien nebst Anlagen.
Entscheidungsgründe
Die erhobene Stufenklage ist bereits nicht zulässig, im Übrigen auch unbegründet. Auf die in vollem Umfang für zutreffend erachteten Auoführungon der Beklagtenseite wird zur Vermeidung von Wiederholungen Bezug genommen.
Ausgeführt sei daher nur so viel:
I.
1.
a) In Bezug auf Klagantrag Ziff. 1 a aa), mit dem Auskunft darüber begehrt wird, welche personenbezogenen Daten die Klägerin im Rahmen des Bonusprogramms „Priceless Specials“ verarbeitet, fehlt es bereits an einer hinreichenden Bestimmtheit des Antrags.
Wie die Beklagte zutreffend vorträgt, hätte die Klägerin nicht den unbestimmten Rechtsbegriff „personenbezogene Daten“ verwenden dürfen, sondern weiter konkretisieren müssen, welche Informationen sie denn gebehrt. Dies gilt insbesondere vor dem Hintergrund dessen, dass die Beklagte jedenfalls mit Schreiben vom 18.05.2020 (Anlage B 8) und mit Schreiben vom 12.10.2020 bereits Auskünfte erteilt hat.
Angesichts der mitgeteilten Informationen ist auch das Rechtsschutzbedürftnis für das entsprechende Begehren weggefallen.
b) Abgesehen davon besteht auch dem Grunde nach kein Auskunftsanspruch.
Das mit Klagantrag Ziff. 1 a aa) geltend gemachte Auskunftsbegehren hat die Beklagte erfüllt. Es sind keine weiteren denkbaren Ansprüche ersichtlich, nachdem die Klägerin noch mit Anlage B 17 weitere Daten bereitgestellt hat.
Was die von der Klägerin genutzten Passwörter angeht, so hat die Beklagte mitgeteilt, diese würden in einer Form gespeichert, die es ihr nicht ermögliche, die Paswörter zu entschlüssen.
Über die verwendeten IP-Adressen ist Auskunft erteilt, so dass offen bleiben kann, ob eine entsprechende Auskunft überhaupt geschuldet gewesen wäre. Gleiches gilt für die begehrten Informationen über die von der Klägerin gesammelten Coins und durchgeführten individuellen Transaktionen. Es wird die Auffassung des LG Köln (Teilurteil vom 18.03.2019 - 26 O 25/18) geteilt, dass der Anspruch aus Art. 15 DSGVO nicht der vereinfachten Buchführung des Betroffenen dienen soll.
2.
Die mit Klagantrag Ziff. 1 a) bb) und cc) begehrten Informationen darüber, welche personenbezogenen Daten der Klägerin, die die Beklagte im Rahmen des o.b. Bonusprogramms verarbeitet, von Dritten entwendet wurden und ob die Prüfziffer der Kreditkarte betroffen ist, sind der Klägerin bereits bekannt. Es besteht daher weder ein Rechtsschutzbedürfnis für einen Auskunftsanspruch noch ist eine (erneute) Auskunft dem Grunde nach geschuldet.
Insbesondere dass Ablaufdatum und Prüfziffer der Kreditkarten nicht betroffen sind - Auskunft die mit Klagantrag Ziff. 1 a) cc) begehrt wird bzw. zunächst begehrt wurde-, wurde den Teilnehmern des Bonusprogramms und damit auch der Klägerin bereits mit dem als Anlage K 1 vorgelegten Schreiben vom 22.08.2019 mitgeteilt. Entgegen der von der Klägerin vertretenen Auffassung be¬steht kein Anlass für die Annahme, dass dieses Schreiben nur eine unverbindliche anfängliche Einschätzung der Beklagten darstellen sollte, das später noch zu korrigieren gewesen wäre.
3.
In Bezug auf die Anträge Ziff. 1 a dd) bis gg) ist die Klage - wie von der Beklagten zu Recht vorgebracht - bereits nicht zulässig, weil die begehrten Informationen nur die allgemeine Prozessfüh¬rung und die Substantiierung der weiteren Stufen erleichtern sollen. Nach ständiger Rechtsprechung können keine Auskünfte verlangt werden, mit denen grundsätzliche Informationen für die weitere Rechtsverfolgung erlangt werden sollen.
II.
Die Kostenentscheidung folgt aus § 91 ZPO, die Entscheidung über die vorläufige Vollstreckbar¬keit beruht auf § 709 S. 1 ZPO.