Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

LG Frankfurt a.M.: Beweislast bei DSGVO-Schadensersatz trifft Kläger

Macht der Kläger einen Schadensersatzanspruch nach Art. 82 DSGVO geltend, trifft ihn die volle Beweislast hinsichtlich einer Datenschutzverletzung. Es reicht nicht aus, dass es in der Vergangenheit bei dem Beklagten zu einem Datenleck gekommen ist und der Kläger einige Zeit danach Spam-Anrufe erhält (LG Frankfurt a.M., Urt. v. 18.01.2021 - Az.: 2-30 O 147/20).

Der Kläger begehrte u.a. Schadensersatz nach Art. 82 DSGVO von dem verklagten Zahlungsanbieter Mastercard.  Er stützte sich dabei auf den Umstand, dass es in der Vergangenheit bei Mastercard  zu einem Datenleck gekommen war und er seitdem Spam-Anrufe und Spam-SMS erhielt. Er verlangte einen Betrag von mindestens 2.650,- EUR hierfür.

Das Gericht wies die Klage ab.

Den Kläger treffe für sein Begehren die volle Beweislast hinsichtlich eines Verstoßes gegen die DSGVO:

"Es ist durchaus denkbar, dass ein illegaler Hacker-Angriff stattgefunden hatte, mit dem die Beklagte oder ihre Erfüllungsgehilfen in dieser Form nicht zu rechnen brauchten. Es wäre Sache des Klägers darzulegen und zu beweisen, dass das Datenleck auf­grund einer Pflichtverletzung der Beklagten oder ihrer Erfüllungsgehilfen entstanden ist.

Der Kläger kann sich insoweit auch nicht auf Art. 82 Abs. 3 DSGVO berufen. Hierin heißt es zwar, dass der Verantwortliche von einer Haftung gemäß Art. 82 Abs. 2 DSGVO befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Dies führt jedoch nur insoweit zu einer Beweislastumkehr, als die Frage des Verschuldens betroffen ist, nicht aber Zu einer Beweislastumkehr bei der Frage nach der Ursache eines Datenlecks. Gemäß Art. 82 Abs. 2 DSGVO haftet nämlich jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.

Dies bedeutet, dass der Kläger zunächst darlegen und beweisen müsste, dass das Datenleck durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Lediglich hinsichtlich der Frage des Verschuldens hierbei würde dann die Beweislastumkehr nach Art. 82 Abs. 3 DS GVO greifen."

Und weiter:

"Der Kläger hat jedoch bereits nicht dargelegt, dass das Datenleck auf einer entspre­chenden Pflichtverletzung der Beklagten beruhte. Soweit er eine fehlende Segmenta­len vorträgt, ist dies letztlich nur eine Vermutung, die er dazu anstellt, wie es zu dem Datenleck gekommen sein könnte. Eine schlüssige und nachweisbare Behauptung ist damit jedoch nicht verbunden."

Der Anspruch scheitere auch an dem Umstand, dass der Kläger keinen hinreichenden Schaden dargelegt habe. Denn die Kausalität zwischen Datenleck und Spam-Anrufe sei nicht hinreichend nachgewiesen:

"Jedoch ist auch insoweit nicht sicher festzustellen, dass diese Spam-Anrufe auf dem Datenleck bei der Beklagten beruhten. Wie zwischen den Parteien unstreitig ist, ist das Datenleck bereits am 21.05.2019 erstmals aufgetreten.

Soweit der Kläger vorträgt, er habe ab September 2019 Spam-Anrufe und -SMS erhalten, liegt hier eine erhebliche/zeitljche Zäsur vor, so dass ein Beruhen des Spam auf dem Datenleck bei der Beklagten nicht indiziert ist."

Die Entscheidung ist nicht rechtskräftig.

06. Dezember 2023
Bei Verstößen gegen die DSGVO können Geldbußen nur bei schuldhaftem Verhalten (= Vorsatz oder Fahrlässigkeit) verhängt werden. Gehört das Unternehmen…
ganzen Text lesen
04. Dezember 2023
Eine Auskunftei muss öffentliche Insolvenzdaten spätestens 6 Monate nach Aufhebung löschen, da eine längere Speicherung gegen die DSGVO verstößt.
ganzen Text lesen
01. Dezember 2023
Das OLG Hamm bestätigt seine bisherige Auffassung, dass Scraping-Vorfälle bei Facebook nicht automatisch zu einem DSGVO-Schadensersatz führen.
ganzen Text lesen
30. November 2023
Eine verspätete und unvollständige DSGVO-Auskunft löst keinen Schadensersatz aus, weil es sich um keine Datenschutzverletzung iSd. Art. 82 DSGVO…
ganzen Text lesen