Aktenzeichen 23 O 10931/20
Leitsatz
1. Nach Art. 82 DSGVO kann auch ein durch einen Verstoß gegen die Verordnung entstandener immaterieller Schaden ersetzt werden; insofern kommen Nichtvermögensschäden durch Diskriminierung, Indentitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder gesellschaftliche Nachteile in Betracht. (Rn. 23) (redaktioneller Leitsatz)
2. Die Behauptung, durch den Verlust der Kontrolle über Daten sei ein Schaden eingetreten genügt nicht, um einen bemessbaren, immateriellen Schaden festzustellen. (Rn. 23) (redaktioneller Leitsatz)
Tenor
1. Die Klage wird abgewiesen.
2. Der Kläger hat die Kosten des Rechtsstreits zu tragen.
3. Das Urteil ist gegen Sicherheitsleistung in Hohe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.
Beschluss
Der Streitwert wird auf 6.650,00 € festgesetzt.
Gründe
Die zulässige Klage ist unbegründet.
I. Dem Kläger steht kein Anspruch auf Ersatz eines immateriellen Schadens gemäß Art. 82 DS-GVO gegen die Beklagte zu. Der Kläger hat weder einen Verstoß der Beklagten gegen die Datenschutzverordnung nachvollziehbar dargelegt noch einen ersatzfähigen Schaden.
Im Einzelnen gilt Folgendes:
1. Der Kläger macht geltend, er habe die Beklagte mit Schreiben vom 13.07.2020 (Anlage K 3) zur Auskunft über seine bei der Beklagten verarbeiteten personenbezogenen Daten gemäß Art. 15 DSGVO aufgefordert. Dem sei die Beklagte nicht nachgekommen. Die ihm mit E-Mail vom 21.07.2020 (Anlage K 4) übersandten URL – Links würden nicht funktionieren. Dies trifft nicht zu Schon die Auskunftsanfrage des Klägers war irreführend. Zum einen hatte der Kläger mit seiner Anfrage vom 13.07.2020 Auskunft betreffend einer anderen E-Mail – Adresse angefragt … und zudem noch zu einer falschen Webside … nicht zur Beklagten gehört. Trotzdem hat die Beklagte mit der Mitteilung der beiden URL – Links … die über den persönlichen Kundenaccount im Bereich „Einstellungen & Datenschutz“ abrufbar sind, die Auskunft nach Art. 15 DSGVO auch für den Account des Klägers zur E-Mail – Adresse … erteilt.
Die Einlassung des Klägers, diese URL – Links seien nicht aufrufbar, es handele sich um tote Links, die nur die Nachricht „page not found“ (Anlage K 6) generierten, ist schlicht nicht nachvollziehbar. Zum einen hat die Beklagte Screenshots der bei Aufruf der Seiten jeweils erscheinenden Startseiten unter Anlage B4 vorgelegt. In der mündlichen Verhandlung am 08.07.2021, die im Wege der Videokonferenz stattgefunden hat, erklärten der Kläger und der Vertreter der Beklagten, während der Sitzung jeweils die Seiten über ihre Rechner aufrufen zu wollen. Der Kläger bekundete, dies sei ihm wiederum nicht gelungen, die Seiten öffneten sich bei ihm nicht. Der Beklagtenvertreter meldete demgegenüber den Vollzug des Aufrufs der Webseiten. Die jeweiligen Ergebnisse konnten im Rahmen der Videokonferenz nicht in Augenschein genommen werden. Das Gericht konnte sich jedoch im Nachgang zu Sitzung selbst davon überzeugen, dass sich die von der Beklagten mitgeteilten URL-Links als ständig zur Verfügung stehende Links ohne Probleme im Bereich „Einstellungen & Datenschutz“ in … Accounts öffnen lassen und die von der Beklagten in Anlage B4 als Screenshots vorgelegten Startseiten erscheinen.
Die Beklagte hat insoweit unbestritten vorgetragen, es handele sich dabei um ein marktübliches und zertifiziertes Auskunftssystem. Die elektronische Bereitstellung der personenbezogenen Daten aus dem Account heraus ist von der DSGVO ausdrücklich zugelassen. Im Erwägungsgrund 63 zur DSGVO heißt es, dass nach Möglichkeit der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können sollte, der den betroffenen Personen direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde.
Die Beklagte hat somit die vom Kläger geforderte Auskunft nach Art. 15 DSGVO erteilt, indem sie ihm ständig verfügbare URL-Links zur Verfügung stellte, mit welcher … Kunden die über sie in ihrem Bereich gespeicherten Daten jederzeit abrufen können.
2. Aus dem Vortrag des Klägers, im Rahmen eines Datenlecks … sei auch die E-Mail-Adresse des Klägers … gestohlen worden; die Diebe hätten dadurch Zugriff auf sämtliche unter dieser E-Mail gespeicherten Kontakte, insbesondere Mandantenkontakte gehabt, die neben seiner eigenen E-Mail Adresse im Darknet hätten verkauft werden können, ist nicht nachvollziehbar. Es mag sein, dass – wie sich aus dem zuletzt unter Anlage K 10 vorgelegten Auszug eines Ergebnisses einer Anfrage des Klägers bei HPI Leak Checker ergibt – von einem groß angelegten Datenhack … betroffenen Nutzem auch der Kläger betroffen war. Die Beklagte hat ihn unstreitig darüber nicht informiert. Nicht nachvollziehbar ist jedoch der Vortrag des Klägers, dadurch seien auch seine Kontaktdaten, insbesondere Mandantenkontakte dem Zugriff der Hacker preisgegeben und von diesen durch Adressierung von Spammails genutzt worden. Der Kläger hat hierzu keine konkreten Tatsachen vorgetragen. Dies ergibt auch nicht das vom Kläger zuletzt unter Anlage K 11 vorgelegte Privatgutachten …. Dort wird zu dem Umfang der abgezogenen Daten nichts ausgeführt. Den Zugriff auf Mandantenkontakte hat der Kläger ohne Spezifizierung und Beweisantritt in den Raum gestellt. Daher muss auch der Behauptung des Klägers, die Sicherheitssystem der Beklagten seien zum damaligen Zeitpunkt nicht ausreichend gewesen, nicht nachgegangen werden.
Denn einen ersatzfähigen Schaden hat der Kläger nicht dargetan. Zwar kann nach Art. 82 DS-GVO auch ein durch einen Verstoß gegen die Verordnung entstandener immaterieller Schaden ersetzt werden. In den Erwägungsgründen sind auch Nichtvermögensschäden durch Diskriminierung, Indentitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder gesellschaftliche Nachteile genannt (Vgl. BeckOK Datenschutz/Quaas DSGVO Art. 82 Rz. 23). Einen vergleichbaren schwerwiegenden Eingriff hat der Kläger indessen nicht vorgebracht Insbesondere hat der Kläger, dessen Kanzlei – EMail-Adresse betroffen gewesen sein soll, nicht vorgetragen, dass zum Beispiel vertrauliche Mandantendaten abgegriffen worden sein könnten. Die Kanzlei E-Mail – Adresse des Klägers dürfte demgegenüber nicht geheim, sondern ohne Weiteres Dritten zugänglich sein. Der Kläger hat sich im Übrigen darauf beschränkt vorzutragen, sein Schaden bestehe im Verlust der Kontrolle über seine Daten. Dies genügt nicht, um einen bemessbaren, immateriellen Schaden festzustellen.
Die Klage war daher abzuweisen.
II. Die Kostenentscheidung folgt aus § 91 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit ergibt § 709 ZPO.
