Ein Kunde hat gegen ein Kreditkartenunternehmen keinen gerichtlichen Anspruch auf eine DSGVO-konforme Verarbeitung (LG München I, Urt. v. 10.11.2019 - Az.: 34 0 13123/19).
Der Anspruchsteller war Kunde bei der Beklagten, einem Kreditkartenunternehmen. Er erhielt per E-Mail die Nachricht, dass es einen Sicherheitsvorfall gegeben habe. Wenig später kursierte im Internet eine Datei mit sensiblen Datensätzen von 90.000 Nutzern. Dieser Datensatz beinhaltete eine verdeckte Version der Kreditkartennummer, Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse der jeweiligen Kartenbesitzer. Kurze Zeit danach wurde eine zweite Datei mit den vollständigen Kreditkartennummern von 80.000 betroffenen Nutzern veröffentlicht.
Der Antragsteller begehrte nun von dem Kreditkartenunternehmen - im Wege der einstweiligen Verfügung - den Dienst nur noch dann weiterzubetreiben, wenn es sicherstelle, dass die Verarbeitung DSGVO-konform passiere. Der Kunde bezog sich dabei auf Vorgaben der "Payment Card Industry Data Securitiy Standard“ (PCI DSS), die die Beklagte einzuhalten habe.
Das LG München I lehnte den Anspruch gleich aufgrund mehrere Umstände ab.
Zum einen verneinte das Gericht das Begehren bereits aus formal-juristischen Gründen:
So sahen die Robenträger eine unzulässige Vorwegnahme der Hauptsache. Denn das Begehren sei nicht auf eine vorläufige Regelung der Angelegenheit gerichtet, sondern beabsichtige vielmehr ganz grundsätzlich eine ordnungsgemäße Vertragsdurchführung. Dies sei jedoch nicht zulässig.
Darüber hinaus sei der Anspruch zu unbestimmt. Denn das konkrete Begehren ("zu unterlassen, die Plattform P(...) S(...) zu betreiben, ohne die Sicherheitsmaßnahmen des PCI DSS-Standards einzuhalten") sei nicht vollstreckungsfähig, da es viele wichtige Fragen offenlasse. Aus dem Antrag sei nicht hinreichend ersichtlich, welche Maßnahmen konkret zur Erfüllung der Pflicht zu ergreifen seien. Etwas andere ergeben sich auch nicht aus dem PCI DSS-Standard, denn Gegenstand des Antrags seien nicht bestimmte Anforderungen des PCI DSS, sondern der Kläger verlangte die grundsätzliche Verarbeitung nach diesem Regelwerk:
"Die ausreichende Bestimmtheit des Antrags ergibt sich auch nicht aus dem PCI DSS-Standard.
Der PCI DSS enthält durchaus Anforderungen an die Sicherheitsstandards für Kreditkartendaten. Gegenstand des Antrags sind jedoch nicht bestimmte Anforderungen des PCI DSS, gegen die die Verfügungsbeklagte verstoßen haben soll und die zu dem Sicherheitsvorfall geführt haben sollen. Demzufolge fehlt es an der erforderlichen und zumutbaren Konkretisierung. Darüber hinaus ist für das Vollstreckungsgericht - auch angesichts des umfassenden Regelwerks des PCI DSS-Standards - nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Verfügungsbeklagten veranlasst werden müssten."
Auch aus inhaltlichen Gründen wies das Gericht den eV-Antrag ab.
Denn es fehle dem Antrag das notwendige Rechtsschutzbedürfnis. Der Kläger hätte einfach außergerichtlich der weiteren Verarbeitung seiner Daten widersprechen und die Vertragsbeziehung zum Kreditkartenunternehmen beenden können. Durch dieser deutlich schnelleren und leichteren Vorgehensweise wäre er ebenfalls zum Ziel gelangt:
"Unabhängig davon ist zwingende Prozessvoraussetzung ein allgemeines Rechtsschutzinteresse oder Rechtsschutzbedürfnis, d.h. ein schutzwürdiges Interesse an der gerichtlichen Geltendmachung des eingeklagten Rechts. Das Rechtsschutzbedürfnis kann fehlen, wenn das verfolgte Begehren auf einem einfacheren Weg zu erlangen ist (...).
Dies ist vorliegend der Fall: Die Möglichkeit, der maschinellen Verarbeitung seiner Daten zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden, wäre der einfachere Weg für den Verfügungskläger, seine Bedenken im Hinblick auf die Verarbeitung seiner personenbezogenen Daten auszuräumen. Mit diesem schnelleren und billigeren Mittel des Rechtsschutzes lässt sich vergleichbar sicher oder wirkungsvoll das erforderliche Rechtsschutzziel - der Schutz der Daten des Verfügungsklägers - herbeiführen.
Die Möglichkeit, der maschinellen Verarbeitung seiner Daten zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden, wäre der einfachere Weg für den Verfügungskläger, seine Bedenken im Hinblick auf die Verarbeitung seiner personenbezogenen Daten auszuräumen. Mit diesem schnelleren und billigeren Mittel des Rechtsschutzes lässt sich vergleichbar sicher oder wirkungsvoll das erforderliche Rechtsschutzziel - der Schutz der Daten des Verfügungsklägers - herbeiführen."