OLG München: Kein DSGVO-Unterlassungsanspruch gegen unsichere Datenverarbeitung durch Kreditkarten-Unternehmen

12.11.2019

Ein Kunde hat keinen gerichtlich durchsetzbaren DSGVO-Unterlassungsanspruch gegen die unsichere Datenverarbeitung durch ein Kreditkartenunternehmen (OLG München, Beschl. v. 29.10.2019 - Az.: 15 W 1308/19).

Der Anspruchsteller war Kunde bei der Beklagten, einem Kreditkartenunternehmen. Er erhielt die Nachricht, dass es einen Sicherheitsvorfall gegeben habe. Wenig später kursierte im Internet eine Datei mit sensiblen Datensätzen von 90.000 Nutzern. Dieser Datensatz beinhaltete eine verdeckte Version der Kreditkartennummer, Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse der jeweiligen Kartenbesitzer. Kurze Zeit danach wurde eine zweite Datei mit den vollständigen Kreditkartennummern von 80.000 betroffenen Nutzern veröffentlicht. 

Der Antragsteller begehrte nun von dem Kreditkartenunternehmen - im Wege der einstweiligen Verfügung - den Dienst nur noch dann weiterzubetreiben, wenn es sicherstelle, dass die Verarbeitung DSGVO-konform passiere.

Das OLG München lehnte den Antrag aus mehreren Gründen ab.

Zum einen fehle dem Begehren das notwendige Rechtsschutzbedürfnis. Denn der Kunde habe die Möglichkeit, außergerichtlich gemäß Art. 17 DSGVO die weitere Verarbeitung seiner Daten zu verhindern. Damit stünde ihm ein schnellerer und einfacherer Weg zur Verfügung als das Gerichtsverfahren. Daran ändere auch nichts, dass das Kreditkartenunternehmen aufgrund gesetzlicher Aufbewahrungspflichten weiterhin die Daten des Klägers gespeichert halte:

"Es geht vielmehr darum, ob dem Antragssteller mit einer Löschung personenbezogener Daten nach Art. 17 DS-GVO nicht ein effektiverer Weg zur Verfügung steht, für die Zukunft die Verarbeitung (und ungewollte Verbreitung) seiner Daten zu verhindern.

Insoweit weist die Antragsgegnerin zutreffend daraufhin, dass auch nach einem Löschungsantrag noch gespeicherte Daten nicht beliebig und anlasslos verarbeitet werden dürfen, sondern nur im Rahmen der gesetzlichen Aufbewahrungspflicht.

Eine Verarbeitung wie vorliegend im Rahmen des „P(...) S(...) Programms“ geschehen, darf gerade nicht mehr stattfinden."

Zum anderen handle es sich um eine Leistungsverfügungsverfügung, die in unzulässiger Weise die Hauptsache vorwegnehme. Hierfür reiche es nicht aus, dass dem Antragsteller ganz allgemein eine Gefahr durch den Missbrauch der sensiblen personenbezogenen Daten drohe:

"Dass die Antragsgegnerin sensible personenbezogene Daten des Antragsstellers mit einem erheblichen Missbrauchspotential verarbeite und bei Fortdauer der Datenverarbeitung weitere unbefugte Zugriffe auf die Nutzerdatenbank zu befürchten seien (so der Antragssteller), reicht als Begründung dafür, dass ein weiteres Zuwarten nicht zumutbar wäre, nicht aus, zumal der Antragssteller schon auf der Ebene der Wiederholungsgefahr eine solche nicht glaubhaft machen konnte."

Auch das LG München I (Urt. v. 10.11.2019 - Az.: 34  13123/19) hat in einem weiteren Parallelverfahren den Anspruch abgelehnt. Vgl. dazu unsere News v. 10.11.2019.