Macht der Kläger einen Schadensersatzanspruch nach Art. 82 DSGVO geltend, trifft ihn die volle Beweislast hinsichtlich einer Datenschutzverletzung. Es reicht nicht aus, dass es in der Vergangenheit bei dem Beklagten zu einem Datenleck gekommen ist und der Kläger einige Zeit danach Spam-Anrufe erhält (LG Frankfurt a.M., Urt. v. 18.01.2021 - Az.: 2-30 O 147/20).
Der Kläger begehrte u.a. Schadensersatz nach Art. 82 DSGVO von dem verklagten Zahlungsanbieter Mastercard. Er stützte sich dabei auf den Umstand, dass es in der Vergangenheit bei Mastercard zu einem Datenleck gekommen war und er seitdem Spam-Anrufe und Spam-SMS erhielt. Er verlangte einen Betrag von mindestens 2.650,- EUR hierfür.
Das Gericht wies die Klage ab.
Den Kläger treffe für sein Begehren die volle Beweislast hinsichtlich eines Verstoßes gegen die DSGVO:
"Es ist durchaus denkbar, dass ein illegaler Hacker-Angriff stattgefunden hatte, mit dem die Beklagte oder ihre Erfüllungsgehilfen in dieser Form nicht zu rechnen brauchten. Es wäre Sache des Klägers darzulegen und zu beweisen, dass das Datenleck aufgrund einer Pflichtverletzung der Beklagten oder ihrer Erfüllungsgehilfen entstanden ist.
Der Kläger kann sich insoweit auch nicht auf Art. 82 Abs. 3 DSGVO berufen. Hierin heißt es zwar, dass der Verantwortliche von einer Haftung gemäß Art. 82 Abs. 2 DSGVO befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Dies führt jedoch nur insoweit zu einer Beweislastumkehr, als die Frage des Verschuldens betroffen ist, nicht aber Zu einer Beweislastumkehr bei der Frage nach der Ursache eines Datenlecks. Gemäß Art. 82 Abs. 2 DSGVO haftet nämlich jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.
Dies bedeutet, dass der Kläger zunächst darlegen und beweisen müsste, dass das Datenleck durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Lediglich hinsichtlich der Frage des Verschuldens hierbei würde dann die Beweislastumkehr nach Art. 82 Abs. 3 DS GVO greifen."
Und weiter:
"Der Kläger hat jedoch bereits nicht dargelegt, dass das Datenleck auf einer entsprechenden Pflichtverletzung der Beklagten beruhte. Soweit er eine fehlende Segmentalen vorträgt, ist dies letztlich nur eine Vermutung, die er dazu anstellt, wie es zu dem Datenleck gekommen sein könnte. Eine schlüssige und nachweisbare Behauptung ist damit jedoch nicht verbunden."
Der Anspruch scheitere auch an dem Umstand, dass der Kläger keinen hinreichenden Schaden dargelegt habe. Denn die Kausalität zwischen Datenleck und Spam-Anrufe sei nicht hinreichend nachgewiesen:
"Jedoch ist auch insoweit nicht sicher festzustellen, dass diese Spam-Anrufe auf dem Datenleck bei der Beklagten beruhten. Wie zwischen den Parteien unstreitig ist, ist das Datenleck bereits am 21.05.2019 erstmals aufgetreten.
Soweit der Kläger vorträgt, er habe ab September 2019 Spam-Anrufe und -SMS erhalten, liegt hier eine erhebliche/zeitljche Zäsur vor, so dass ein Beruhen des Spam auf dem Datenleck bei der Beklagten nicht indiziert ist."
Die Entscheidung ist nicht rechtskräftig.