Inhalt:
In dem Blogbeitrag geht es am Beispiel einer Datenpanne beim Betrieb eines Loyalitätsprogramms (Bonusprogramms oder auch „Loyalty-Programme“) eines großen internationalen Unternehmens mit vielen Tausend Betroffenen Kunden, um die Aussichten von Betroffenen wegen der immateriellen und materiellen Schäden in Deutschland Schadenersatz zu erhalten. Die Autorin ist eine Anwältin, die Betroffene in Schadenersatzprozessen wegen einer solchen Datenpanne aus 2019 bei dem M. P. S. Loyalitätsprogramm vertritt, u.a. vor dem Oberlandesgericht in Frankfurt am Main. Wegen der zum Teil erst in 2023 höchstrichterlich geklärten Fragen zur Beweislast und Reichweite der Auskunftspflichten zog das Verfahren sich in die Länge. Nun gab es zwischenzeitlich mehrere neue Grundsatz-Urteile des Europäischen Gerichtshofs (EUGH) zur Haftung von Behörden und Unternehmen bei Datenleaks (Veröffentlichung großer Datenbanken mit sensiblen Kundendaten) aufgrund von Sicherheitslücken, die in den letzten Monaten gefällt wurden. Bisher haben betroffene Unternehmen höchstrichterliche Bestätigung beim Bundesgerichtshof verhindert, indem sie vorher einen Vergleich abgeschlossen und hohe Summen gezahlt haben unter dem Vorbehalt der Geheimhaltung. Noch in 2023 ist ein anhängiges Verfahren auf diesem Wege vor dem BGH zurückgenommen worden, weil Mastercard laut Berichterstattung des Juve Verlags, Frankfurter Allgemeine unter FAZ.net, sich vor einer Entscheidung des Bundesgerichtshofs sich mit der EUGD geeinigt hat – siehe dazu Juve und Beitrag statt vieler in der FAZ dazu. Grund hierfür war die bisherige Sabotagehaltung vieler deutscher Gerichte, sonst wäre der Schadenersatz höher ausgefallen als 300-400 Euro je Kläger der EUGD. Die Ansicht, dass hier deutsche Gerichte vielfach in eine Art Sabotagehaltung verfallen sind, lesenswert der ausführlich erläuternde Beitrag von meinem Anwaltskollegen Christian Franz bei CR-Online. Diese restriktive Haltung wird aber in 2024 wohl künftig von den Zivilrichtern nicht mehr wegen der klaren höchstrichterlichen Entscheidungen des EUGH in 2023 aufrecht erhalten werden können.

EUGH weitet das Schadenersatzrisiko für Unternehmen und ihre Serviceprovider bei Datenpannen aus

In einem Urteil vom 14. Dezember 2023 hat der EUGH (C-340/21) entschieden, dass Betroffene von Datenpannen auch dann Anspruch auf Schadenersatz haben, wenn sie nicht konkret nachweisen können, dass sie durch die Datenpanne tatsächlich geschädigt wurden, denn die bloße begründete Angst der Opfer vor möglichem Identitätsbetrug aufgrund der systematischen Verwertung der geleakten Kundendaten und finanzielle Nachteile bei negativen falschen Meldungen an Auskunftsdienste und Kreditgeber, Spam- und gefährliche Phishing-Anrufe und ähnlichem kann laut EUGH ein Schaden sein. Vielmehr genügt es, wenn die Datenpanne die Möglichkeit des Identitätsdiebstahls oder anderer negativer Folgen erhöht hat, weil mit der Veröffentlichung großer Kunden- und Mitarbeiterdatenbanken ein Kontrollverlust und damit massiver Verlust der informationellen Selbstbestimmung der betroffenen Menschen einhergeht. Phishing bezeichnet den Diebstahl persönlicher Daten mit Hilfe gefälschter Webseiten, E-Mails oder Kurznachrichten und nimmt aufgrund der Daten aus Datenlecks als Gefahr laufend zu. Erbeutete Daten werden oft an andere Betrüger weiterverkauft oder einfach aus Gründen der „Abschreckung“ geleakt, die dann etwa aufgrund von Kontaktdaten, Bankverbindungen oder Kreditkartennummern für Käufe auf Rechnung der Opfer Sicherheitslücken der Händler und Banken überwinden können und so missbraucht werden können. Auch Behörden sind betroffen hiervon.

Rechtsschutz bei DSGVO-Schadenersatz nun für Betroffene bei Datenpannen gestärkt

Dieses Urteil des EUGH vom 14.12.2023 ist ein wichtiger Schritt für den Rechtsschutz von Betroffenen von Datenpannen. In der Praxis ist es entscheidend, daß der Verantwortliche darlegen und beweisen muss, dass er die Datenpanne nicht durch unzureichende technische und organisatorische Maßnahmen ermöglicht hat und die Sicherheitslücken im Zweifel den Schaden verursacht haben, weil es sonst für die Betroffenen, die keinen Einblick in die internen Vorgänge zwischen der Verantwortlichen und ihren Serviceprovidern sowie Sicherheitsmassnahmen haben, sonst in der Praxis keine Chance hätten, Schadenersatz zu erhalten. Dies würde dem Zweck der DSGVO widersprechen, dem Schutz personenbezogener Daten vor illegitimer Verarbeitung möglichst wirksam zur rechtlichen Durchsetzung zu verhelfen und bei Schäden, die durch Verletzung der Pflichten der Verantwortlichen und ihrer Auftragsverarbeiter den Betroffenen entstehen, einen effektiven Ausgleich zu erhalten.

Wie geht es weiter mit den M. S. P. Klagen?

Im Fall der M.S.P.-Datenpanne mit Finanz- und Kreditkartendaten von 90.000 Betroffenen im August 2019, ist das Verfahren vor dem Oberlandesgericht Frankfurt das Verfahren noch nicht entschieden. Die Kläger haben neben M.E. auch zwei Serviceprovider mit Sitz in Österreich und Großbritannien als Gesamtschuldner vor dem Oberlandesgericht mit verklagt. Der Senat hat die höchstrichterlichen Urteile abgewartet und daher ist es wahrscheinlich, dass das Gericht das EUGH-Urteil nun in 2024 in diesem Verfahren berücksichtigen wird. Zudem muss hier auch der Senat entscheiden, ob die Auftragsverarbeiter, die M.E. bislang nicht identifizierbar öffentlich genannt hat, in der Berufung als Gesamtschuldner mit haften und verklagt werden dürfen. Bislang sind die Gerichte bei den Klageabweisungen anderer Kläger, die die Anwälte von M.E. anführen, davon ausgegangen, dass die Betroffenen die Datenschutzverstöße nachgewiesen hätten oder jedenfalls sei der Kontrollverlust durch das Datenleck und der emotionale Stress Betroffener oder die bloße Sorge vor Datenmißbrauch kein Schaden. Hier hatte jedoch der EUGH im Fall einer bulgarischen Datenpanne zwischenzeitlich klargestellt, dass auch die begründete Sorge vor Mißbrauch ein immaterieller Schaden nach Art. 82 DSGVO sein kann. Es bleibt aber wegen des weiten Beurteilungsermessens des Gerichts nach den nationalen Vorschriften offen, wie hoch oder niedrig dieser Schaden in Geld zu ersetzen ist und hängt auch sehr von den Umständen des Einzelfalls ab nach § 287 ZPO.

Nicht mehr werthaltig einlösbare Coins als immaterieller Schaden ersatzpflichtig
Auch die nicht mehr einlösbaren Coins, die beim Kläger des Verfahrens beim OLG Frankfurt mit 950 x 1 Euro allein 950 Euro als entgangenen Gewinn geltend gemacht wurden, hat M. bisher nicht erstattet. In allen bisherigen Parallelverfahren vor dem OLG Stuttgart u.a. war dieser Schaden als nicht erstattungsfähig angesehen worden und die Klagen abgewiesen worden, allerdings vor den Grundsatzurteilen des EUGH in 2023. Diese restriktiven Urteile werden die Gerichte nach diesen klaren Entscheidungen des EUGH wahrscheinlich so nicht mehr aufrechterhalten können.

Schaden kann auch nur die Angst vor Datenmißbrauch sein oder der Kontrollverlust nach einem Datenleak, so nun klare Aussage des EUGH

Es bleibt also dabei, dass Betroffene einen persönlichen immateriellen oder materiellen Schaden nachweisen müssen, jedoch ist der Begriff des Schadens laut EUGH sehr weit ausgedehnt worden und kann auch vor dem Eintritt von Kreditkartenbetrug und ähnlichen finanziellen Nachteilen in dem Stress infolge des Datenleaks für die betroffenen Kunden bestehen. Die Höhe ist jedoch wegen der fehlenden Vorgaben der DSGVO, die ausdrücklich keinen Strafschadenersatz, sondern nur einen wirksamen Ausgleich des erlittenen Schadens vorsieht, jeweils abhängig von den konkreten Umständen des Einzelfalls und die Verfahren daher eigentlich unverhältnismäßig aufwendig, gerade wenn wie hier viele Betroffene vorhanden sind. Das ist aus meiner Sicht auch ein Konzeptionsfehler des Verordnungsgebers, der die Rechtspraxis vor große Herausforderungen stellt.

Signalwirkung auch für andere Datenpannen, bei denen nun die Unternehmen ihre Unschuld nachweisen müssen

Sollte das Gericht der Auffassung sein, dass die M.E.-Datenpanne den Betroffenen einen Anspruch auf Schadenersatz gibt, wäre dies ein weiteres positives Signal für die Betroffenen von Datenpannen mit Auswirkungen auch für weitere Datenleaks wie etwa in 2023 bei der Bonify App – zugehörig zur SCHUFA Holding Gruppe aus Wiesbaden – oder bei Nutzern des Kontowechselservices von Majorel, den einige Banken wegen einer Sicherheitslücke bei dem Finanzdienstleister Move-IT hatten oder der Datenpanne bei Motel One.  Bisher haben die von Datenpannen betroffenen Unternehmen wegen der restriktiven Rechtsprechung deutscher Zivilgerichte oft die Veröffentlichung der Daten nach Erpressungsversuchen der kriminellen Hacker einfach in Kauf genommen ohne Rücksicht auf ihre Kunden oder Mitarbeiter, da die Behörden nicht in der Lage waren, die Vorgänge ohne deren Mitwirkung aufzuklären und die Betroffenen keine internen Einblicke hatten. Betroffene konnten also natürlich nicht die konkreten Nachlässigkeiten in der IT-Sicherheit und beim Datenschutz vortragen, die Unternehmen haben sich daher bisher oft selbst als als Opfer dargestellt, auch dann, wenn sie selbst als Verantwortliche sich unzureichend um den Datenschutz ihrer Kunden oder Mitarbeiter gekümmert haben. Ich empfehle den Unternehmen wegen der technischen und bisher praktisch stattfindenden Ransomattacken einen interessanten Vortrag von Linus Neumann (IT-Security-Spezialist/IT-Forensiker bei zahlreichen Ransomattacken auf Unternehmen) und Kai Biermann (Journalist) auf dem Hamburger Chaos Computer Club Kongress vom Dezember 2023 Hirne hacken: Hackback Edition – media.ccc.de.  Allerdings wird es im Hinblick auf 2024 wohl künftig wegen der künftigen hohen Schadenersatzklagen anders laufen. Schwarze Schafe, die Nachlässigkeiten oder gar bewusstes Kalkül mangels effektiver Sanktionen angestrengt haben, werden künftig auch von deutschen Zivilgerichten in die Verantwortung für schuldhaft verursachte Schäden der Betroffenen nach Datenleaks genommen werden. Indem laut EUGH nicht die Kläger nachweisen müssen, dass die Unternehmen für die Sicherheitslücken bei ihren Serviceprovidern verantwortlich sind als Gesamtschuldner, sondern die Unternehmen nur von der Haftung befreit sind, wenn sie nachweisen, dass sie trotz angemessener Datenschutzmaßnahmen gehackt worden sind („von einem Cyberangriff betroffen“), wird sich die restriktive Haltung der deutschen Zivilgerichte künftig zugunsten der Betroffenen ändern und dies wird hoffentlich zu Verbesserung bei der Umsetzung der Datenschutzvorgaben bei den Unternehmen führen. Der Schaden sollte entschädigt werden, auch wenn er infolge einer Datenpanne nicht zu materiellen Schäden geführt haben sollte – alleine der Kontrollverlust über die Kenntnis privater Daten durch einen Datenleak und die Sorge vor negativen Folgen wie Identitätsdiebstahl, negatives Scoring bei Kreditgebern, Spam- und Phishing-Anrufen und so weiter sind in einer zunehmend digitalisierten Gesellschaft ein Schaden der zu einem wirksamen Schadenersatz führt. Ebenso wie der Bundesgerichtshof im Dieselskandal bei deutschen Automobilherstellern klargestellt hat, dass bereits das ernsthafte Risiko, dass eine zuständige Behörde das Fahrzeug des gutgläubigen Käufers stillegt, weil es infolge unerlaubter Software mit Abschalteinrichtungen nicht den Abgasvorschriften entspricht (Risikoerhöhungsschaden), ist eine begründete Sorge vor finanziellen Schäden bereits ein erstattungsfähiger Schaden (BGH Urteil vom 26.06.2023 – VIa ZR 335/21 . Ähnlich ist es mit der Risikoerhöhung, die Betroffene wegen nachlässigen Datenschutzmaßnahmen der verantwortlichen Unternehmen und ihrer Serviceprovider mit jedem Datenleak erleiden, denn eine natürliche Person hat als Betroffener im Hinblick auf die informationelle Selbstbestimmung und Recht auf Privatsphäre keinen Einblick auf die internen Prozesse und muss sich auf das verantwortliche Unternehmen im Hinblick auf die Rechtskonformität und Sicherheit der Produkte und Services verlassen können. Wenn diese Sicherheit pflichtwidrig vorgetäuscht wird, ist der Kontrollverlust über die legitime Verarbeitung der personenbezogenen Daten durch einen unerlaubten Datenabfluss daher ein erstattungspflichtiger Schaden (EUGH C-356/22 vom 14.12.2023 – Gemeinde Ummendorf). Nicht jeder Datenschutzverstoß führt automatisch zu einem immateriellen Schaden, jedoch ist ein informationelle Kontrollverlust über die Offenlegung privater Daten an unbefugte Dritte infolge eines rechtswidrig ermöglichten Datenleaks ein erheblicher immaterieller informationeller Schaden.

Künftig stärkere Schadenersatzhaftung von Unternehmen nach Datenpannen, wenn Sicherheitslücken verschuldet sind

Ich gehe davon aus, dass sich der Rechtsschutz für Betroffene von Datenpannen in Zukunft insgesamt verbessern wird. Denn die neuen EUGH-Urteile werden dazu führen, dass Unternehmen künftig stärker für Datenpannen haften müssen. Allerdings haben einige Oberlandesgerichte wie Stuttgart, Hamm und Köln in den Parallelverfahren des Datenleaks bei Facebook – Data Scraping gezeigt, dass immer wieder die Anforderungen an die Annahme des Schadens verneint wird und Schadenersatzklagen unter Verweis darauf auch abgewiesen werden. Diese Sicht wird aber wohl kaum mit den klaren Aussagen des EUGH (C-300/21) zum Schaden, der keine Erheblichkeit nach der DSGVO voraussetzt und auch schon bei begründeter Angst Betroffener vor Datenmißbrauch begründet sein.

Ansprüche nicht verjährt

Ob die Schadenersatzansprüche im Fall M.E. verjährt sind, weil entgegen der Pflicht, die Serviceprovider klar identifizierbar bei einem Auskunftsverlangen nach Art. 15 DSGVO zu benennen, M.E. diese nach unseren Informationen noch nicht öffentlich gemacht und auch nicht außergerichtlich den Betroffenen namentlich alle mitgeteilt hat – das ist zwischen den Parteien streitig. Die Anwälte von M.E. halten die weiteren Klagen jedoch für verjährt, sodass dies vor Gericht ein Streitpunkt bleiben wird. Das dürfte aber nicht richtig sein: Ohne Kenntnis der den Anspruch begründenden Umständen, wozu auch die Identität aller Gesamtschuldner gehört, beginnt nach dem Bürgerlichen Gesetzbuch (§ 199 BGB) die Verjährungsfrist nicht zu laufen. Nach Artikel 82 Abs. 3 DSGVO als Gesamtschuldner auf Schadenersatz in Anspruch genommen werden können.

update März 2024: Die Höhe der Schadenersatzbeträge wird wohl sinken – Tendenz der Gerichte ist die Schäden zu bagatellisieren
Hinsichtlich der Höhe des immateriellen Schadens ist die Rechtssprechung uneins. In den M.E.-Fällen wurde bisher meist ein nachweisbarer Schaden abgelehnt, einzig aus dem Hinweisbeschluss des beim Oberlandesgericht Frankfurt am Main derzeit noch anhängigen Verfahrens 19 U 39/21, geht immerhin hervor, dass das Gericht einen entgangenen Gewinn wegen der erwartbar nach der Datenpanne nicht mehr werthaltig einlösbarer Coins als materiellen Schaden nach § 280 BGB zuerkennen will und immateriellen Schaden wegen plötzlich nach der Datenpanne auftretender Spamanrufe in Betracht kommen. Die Höhe wird jedoch voraussichtlich bescheiden ausfallen, denn die Tendenz der meisten Gerichte ist hier bislang, den immateriellen Schaden wie Emotional Distress wegen Belästigung, Stress und Sorge aufgrund des Kontrollverlusts nach einem Datenleck mit Name, Anschrift, Mobilfunknummer, Geburtsdatum, Email, Kreditkartennummer und ggfs. weiterer Daten zu den Kartenumsätzen eher zu bagatellisieren. Der EUGH hat zuletzt klargestellt, dass der Schadenersatzanspruch nach Art. 82 DSGVO keinen Aufschlag zur Abschreckung oder Sanktion beinhalten darf, sondern nur einen wirksamen Ausgleich für den erlittenen Schaden. In der EUROPOL-Entscheidung vom März 2024 hat hierbei der EUGH diesen immateriellen Schaden der Betroffenen, deren Smartphones illegal von den Behörden gescannt worden waren, trotz der Sensibilität der Daten und Beeinträchtigung des Familienlebens des Betroffenen auf nur 2.000 Euro bemessen. Bei so geringen Streitwerten werden die Betroffenen Schwierigkeiten haben, vertretungsbereite, qualifizierte Rechtsanwälte zu finden. Sammelklagen auf Schadenersatz sieht aber das deutsche Zivilprozessrecht nicht vor. Dies geht nur durch einen Kniff, nämlich Abtretung ohne individuelle Beratung und Vertretung, und führt dann dazu – wie im Fall z.B. des OLG Stuttgart bei parallelen Datenleck-Klagen wegen einer Facebook-Datenpanne oder anderen – dass mangels individuellem Vortrag des jeweiligen Klägers das Gericht die Klage mangels Nachweis eines Schadens ablehnt.

Fazit:

Die Aussichten von Betroffenen von Datenpannen, Schadenersatz zu erhalten, haben sich durch die jüngsten Urteile des EUGH zwar deutlich verbessert, jedoch im Ergebnis ist die Verfolgung wegen der geringen Höhe des zugesprochenen Schadenersatzes in einer Reihe von Urteilen deutscher Gerichte und verschiedener weiterer Prozessrisiken, vor allem Beweis des erlittenen Schadens durch die Datenpanne, unverhältnismäßig aufwendig. Das Ziel, dem Datenschutz durch wirksamen Rechtsschutz zu mehr Durchsetzung zu verhelfen, dürfte damit eher nicht erreicht werden. Es sind dennoch einige Legal Tech Anbieter oder Verbraucheranwälte am Start, die massenweise klagen, sodass sich der Schaden trotzdem wegen der Vielzahl der Verfahren für die beteiligten Unternehmen summieren kann. Im Ergebnis kann sich neben dem Rufschaden auch das Haftungsrisiko für Unternehmen bei Massenklagen auf beachtliche Beträge summieren. Unternehmen müssen demnach künftig stärker für Datenpannen haften, wenn sie nicht Vorsorge getroffen haben und keine ausreichenden Datenschutz-Maßnahmen nachweisen können. Hierbei können sie auch für die Nachlässigkeiten ihrer Serviceprovider haften, wenn sie diese nicht ausreichend kontrolliert haben, insbesondere keine ausreichenden Auftragsverarbeitungsverträge abgeschlossen haben, und nicht in angemessenem Umfang und Zeitabstand Audits und Sicherheitsreports angefordert haben, um etwaige Sicherheitslücken zu erkennen und zu beheben oder das Personal nicht ausreichend sensiblisiert, angewiesen und geschult worden ist. Der Schadenersatz kann je nach Einzelfall mehrere Hundert Euro betragen. Bei Bonitätsprogrammen können auch noch materielle Schäden wie der entgangene Werts der Coins hinzukommen. Auch die Verfolgung der Auskunftsersuchen ist wichtig, weil u.a. die vollständige Nennung der Empfänger (insbesondere Serviceprovider) nach Art. 15 DSGVO zur Prüfung der Rechtmäßikeit der Verarbeitung im Normalfall nicht als rechtsmißbräuchlich angesehen werden kann. Solange dem Betroffenen und dem Gericht die Serviceprovider bei vernetzten Systemen wie etwa einem Bonitätsprogramm, das Umsätze mit den Teilnehmern des Programms laufend automatisch abgleichen und Coins bzw. Bonuspunkte zur Einlösung von Rabatten oder anderen Vorteilen gutschreiben muss, nicht bekannt sind, kann etwa im Fall einer Beweisaufnahme mit Sachverständigengutachten auch das Gericht nicht darüber entscheiden, ob etwaige Verträge und technische und organisatorische Maßnahmen (z.B. Audits) angemessen und ausreichend waren. Dies dürfte relevant für die Beurteilung der Verjährungsfrage sein.