Ein Betroffener des Deezer-Datenlecks hat einen Anspruch auf 350,- EUR DSGVO-Schadensersatz. Bereits in dem Fehlen einer Auftragsdatenverarbeitung liegt ein Datenschutzverstoß (LG Lübeck, Urt. v. 04.10.2024 - Az.: 15 O 216/23).
Der Kläger war Nutzer der Musik-Streaming-Plattform Deezer und klagte auf Schadensersatz aufgrund eines Datenlecks. Deezer hatte 2019 Nutzerdaten an einen externen Dienstleister weitergegeben, der die Daten nicht ausreichend geschützt hatte. Durch einen Hackerangriff gelangten die Daten ins Darknet, wo sie öffentlich zugänglich waren. Dezer hatte lediglich mit dem externen Mutterkonzern M eine Auftragsdatenverarbeitung abgeschlossen, nicht jedoch mit der Tochtergesellschaft O.
1. Datenschutzverletzung aufgrund fehlender Vereinbarung über Auftragsdatenverarbeitung:
Bereits durch die Tatsache, dass keine Vereinbarung über die Auftragsdatenverarbeitung nach Art. 28 DSGVO mit der Firma O vorliege, führe zu einer rechtswidrigen Datenübermittlung, so das Gericht:
"Entsprechendes gilt für eventuelle Unterauftragsverarbeiter: diesen muss ebenfalls verbindlich durch Vertrag oder ein anderes Rechtsinstrument dieselben Datenschutzpflichten auferlegt worden sein wie dem Auftragsverarbeiter selbst, § 28 Abs. 4 DSGVO. Fehlt es an diesen Voraussetzungen, so stellt sich (…)auch die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig dar (…).
Diese vorgenannten Voraussetzungen für die rechtskonforme Übermittlung geschützter Daten an Auftragsdatenverarbeiter wurden hier nicht beachtet. Dabei kann dahinstehen, ob die O. als Auftragsdatenverarbeiter oder - wie dies der Vortrag der Beklagten nahelegt - als Unterauftragsdatenverarbeiter der M. tätig wurde. Denn nach dem insoweit unstreitigen Sachverhalt liegt weder ein den Anforderungen des Art. 28 Abs. 3 DSGVO genügender Auftragsverarbeitungsvertrag zwischen der Beklagten und der O. vor - an welche aber dennoch die Daten herausgegeben wurden -, noch ein Unterauftragsverarbeitungsvertrag zwischen der O. und der M.. Auch auf entsprechenden Hinweis vom 8. Mai 2024 erfolgte hierzu kein weiterer Sachvortrag. Eine wirksame Übertragung von Datenschutzverpflichtungen auf die O. lag damit entgegen der Vorgaben der DSGVO zu keinem Zeitpunkt vor."
Dabei sei es unerheblich, dass mit der Muttergesellschaft M ein solcher Vertrag vorliege. Denn daraus lasse sich nichts für das Tochterunternehmen O ableiten:
"Dem kann die Beklagte auch nicht entgegenhalten, dass es „marktüblich und nicht zu beanstanden“ sei, „dass Verträge innerhalb eines Konzerns von der Muttergesellschaft (auch mit Wirkung für verbundene Unternehmen) abgeschlossen werden“. Dies überzeugt die Kammer nicht.
Nach deutschem und europäischen Gesellschaftsrecht handelt es sich auch bei konzernverbundenen Gesellschaften grundsätzlich um rechtlich selbständige Rechtspersönlichkeiten. Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten. Entsprechend nimmt es nicht Wunder, dass auch in der einschlägigen datenschutzrechtlichen Literatur betont wird, dass es sich bei konzernverbundenen Gesellschaften um getrennte Organisationen handelt und auch datenschutzrechtlich eine Privilegierung von Konzernen nicht stattfindet (…)."
2. Beweislast-Umkehr bei konkreter Benennung der Darknet-Veröffentlichung:
Grundsätzlich obliege die Beweislast dem jeweiligen Anspruchsteller.
Gebe der Betroffene jedoch genaue Fundstellen im Darknet an, auf denen die Deezer-Dateninformationen veröffentlicht worden seien, könne Deezer diese Tatsache nicht einfach mit Nichtwissen bestreiten.
Die Beweislast drehe sich in diesen Fällen vielmehr um. müsse es als weltweit operierendes Unternehmen, das über entsprechende Ressourcen verfüge, entsprechend Stellung nehmen:
"Dabei hat die Kammer eingehend gewürdigt, dass die Beklagte allerdings mit Nichtwissen bestreitet, dass die Daten veröffentlicht wurden.
Der Beklagten steht es jedoch zur Überzeugung der Kammer nicht zu, die vorgetragene Veröffentlichung der Daten mit schlichtem Nichtwissen zu bestreiten.
Die Klägerseite hat insoweit mit Schriftsatz vom 07.03.2024 konkret vorgetragen, welche ihrer Datenpunkte auf welcher konkreten Seite im Darknet veröffentlicht wurden.
Dies darf die Beklagte nicht mit Nichtwissen bestreiten.
In der Rechtsprechung des Bundesgerichtshofes ist insoweit geklärt, dass eine Erklärung mit Nichtwissen auch außerhalb des Bereichs der eigenen Handlungen und eigenen Wahrnehmung der Partei unzulässig ist, wenn und soweit eine Informationspflicht der Partei hinsichtlich der vom Gegner behaupteten Tatsachen besteht (….). Dies ist hier der Fall.
Denn gem. Art. 33 Abs. 3 c), Abs. 4 DSGVO ist der Verantwortliche – hier mithin die Beklagte – im Falle einer Verletzung des Schutzes personenbezogener Daten verpflichtet, über die wahrscheinlichen Folgen der Verletzung des Schutzes der Daten ebenso zu informieren, wie über die Maßnahmen zur Behebung der Verletzung sowie zur Abmilderung der möglichen nachteiligen Auswirkungen.
Diese Informationspflichten machen es erforderlich, dass sich die Beklagte ein eigenes Bild über die vorgetragenen Folgen des Vorfalles, die Wege der Verbreitung der Daten und hierauf aufbauend über etwaige Möglichkeiten zur Abmilderung der Folgen verschafft – zumal es einem weltweit tätigen Unternehmen wie der Beklagten ganz offenkundig technisch unproblematisch möglich ist, die entsprechenden Informationen beizuziehen. Dass es der Beklagten unzumutbar gewesen sein soll, auf der entsprechenden Seite im Darknet zu prüfen und zu sichern, welche konkreten Informationen dort verbreitet werden, ist nicht nachvollziehbar vorgetragen. Soweit die Beklagte insoweit ausführt, es sei ihr nicht zuzumuten, sich „in einem illegalen Forum anzumelden“ ist dieser Vortrag schon nicht einlassungsfähig. Zwischen den Parteien ist unstreitig, dass die Daten zum Download angeboten wurden. Dass dieser Download an unzumutbare Bedingungen oder Anmeldeprozedere geknüpft wurde, ist weder ersichtlich noch ansatzweise nachvollziehbar vorgetragen.
Ebensowenig ist ersichtlich, inwieweit ein zur Beweissicherung, Strafverfolgung, Dokumentation und Unterrichtung der Betroffenen evident erforderlicher, kostenfreier Download der veruntreuten Daten dazu beigetragen haben sollte, „Kriminelle zu unterstützen“."
3. DSGVO-Schadensersatz iHv. 350,- EUR:
Das Gericht sprach dem Kläger einen Schadensersatz iHv. 350,- EUR zu.
"Des Weiteren liegt auch ein ersatzfähiger Schaden im Sinne von Art. 82 Abs. 1 DSGVO vor.
Grundsätzlich ermöglicht Art. 82 Abs. 1 DSGVO den Ersatz materieller und immaterieller Schäden. Ein materieller Vermögensschaden wurde von der Klägerseite nicht vorgetragen. Sie beruft sich jedoch erfolgreich auf das Vorliegen eines immateriellen Schadens.
aaa. Als Anknüpfungspunkte für einen immateriellen Schaden im Sinne des Art. 82 DSGVO sind hier die von der Klägerseite geschilderten Spam-Emails und Anrufe (im Folgenden bbb.), die vorgetragenen Sorgen und Ängste in Folge des oben festgestellten Datenschutzverstoßes durch die Beklagte (im Folgenden ccc.), die Veröffentlichung der Daten der Klägerseite im Internet (im Folgenden ddd.) denkbar und/oder die Übermittlung von Daten der Klägerseite an die für den Datenschutzvorfall Verantwortlichen an sich (im Folgenden eee.)."
Und weiter:
"bbb. Auf die von der Klägerseite geschilderten Spam-Emails und die bei ihr eingehenden Anrufe kann sich die Klägerseite – und das Gericht erlaubt sich an dieser Stelle zu ergänzen: ganz offensichtlich – nicht berufen.
Die Beklagtenseite hat insoweit nachvollziehbar bestritten, dass diese Emails und Anrufe etwas mit dem streitgegenständlichen Datenschutzvorfall zu tun haben und taugliche Beweisangebote der Klägerseite dafür, dass diese Anrufe bzw. Emails konkret durch den hier behandelten Datenschutzvorfall ermöglicht wurden, fehlen naturgemäß.
Es ist insoweit dem Gericht aus eigener Anschauung bekannt, dass jedermann das Risiko trägt, Gegenstand derartiger Emails und Anrufe zu werden und entsprechend in keiner Weise nachvollzogen werden kann, aus welcher Quelle die hierfür Verantwortlichen die benötigten Daten, insbesondere die Emailkennung oder Telefonnummer beziehen. Vor diesem Hintergrund verbietet sich jedweder Anscheinsbeweis dahingehend, dass vorliegend der streitgegenständliche Datenschutzvorfall Quelle der benötigten Daten für die Anrufe bzw. Emails war. Dies gilt ausdrücklich auch im Hinblick auf eine etwaige zeitliche Koinzidenz der Anrufe/ Emails mit dem hier verhandelten Vorfall bei Deezer. Diese erhöht zwar die Wahrscheinlichkeit, dass ein Kausalzusammenhang bestehen könnte, bietet jedoch keinen hinreichenden Beweiswert, um diese Behauptung aus dem Reich der bloß irgendwie plausibel klingenden Spekulation in den Bereich des gerichtlichen Vollbeweises zu erheben.
ccc. Vorliegend liegt ein Schaden im Sinne von Art. 82 DSGVO jedoch in den geltend gemachten Ängsten und Sorgen der Klägerseite begründet."
Anmerkung von RA Dr. Bahr: Pyrrhus-Sieg der Klägerseite
Auf den ersten Blick erscheint die Klage des Betroffenen als erfolgreich, da ihm 350,- EUR zugesprochen wurden.
Bei näherer Betrachtung ergibt sich jedoch ein anderes Bild. Es handelt sich im Ergebnis vielmehr um einen (finanziellen) Pyrrhus-Sieg.
Der Kläger hatte nämlich die Zahlung von mindestens 3.000,- EUR Schadensersatz geltend gemacht und daneben noch weitere Begehren (Unterlassung, Auskunft, Feststellung und Erstattung außergerichtlicher Anwaltskosten) vorgetragen. Alle diese Forderungen wies das Gericht zurück und legte zudem der Klägerseite auch die volle Kostenlast für das gerichtliche Verfahren auf.
Die Entscheidung ist nicht rechtskräftig. Das Gericht hat für Deezer explizit die Berufung zugelassen.