Herzlichen Dank an dieser Stelle an die Kanzleien Raimer und Spirit Legal (besonders Diana Ettig und Peter Hense) für ihre großartige Arbeit!
Aktenzeichen:
9 U 34/21
14 O 273/20 LG Stuttgart
Oberlandesgericht Stuttgart
9. ZIVILSENAT
Im Namen des Volkes
Urteil
In dem Rechtsstreit
Stuttgart
– Klägerin und Berufungsklägerin –
Prozessbevollmächtigter:
gegen
, Belgien – Beklagte und Berufungsbeklagte –
Prozessbevollmächtigte:
wegen Schadensersatzes nach Datenschutzverletzung
hat das Oberlandesgericht Stuttgart – 9. Zivilsenat – durch den Vorsitzenden Richter am Oberlandesgericht , den Richter am Landgericht und den Richter am Oberlandesgericht aufgrund der mündlichen Verhandlung vom 31.03.2021 für Recht erkannt:
- Die Berufung der Klägerin gegen das Urteil des Landgerichts Stuttgart vom 11.11.2020, 14 O 273/20, wird zurückgewiesen.
- Die Klägerin hat die Kosten des Berufungsverfahrens zu tragen.
- Dieses Urteil sowie das in Ziffer 1 genannte Urteil des Landgerichts Stuttgart sind ohne Sicherheitsleistung vorläufig vollstreckbar. Die Klägerin kann die Vollstreckung durch die Beklagte gegen Sicherheitsleistung in Höhe von 120 % des insgesamt für die Beklagte vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 120 % des jeweils zu vollstreckenden Betrages leistet.
- Die Revision gegen dieses Urteil wird zugelassen.
Gründe:
I.
Die Klägerin begehrt von der Beklagten die Zahlung von Schmerzensgeld.
Die Beklagte ist die europäische Tochtergesellschaft eines Anbieters von Zahlungskarten. Sie schloss mit der Klägerin, die eine [Kreditkarte der Beklagten] nutzt, einen Vertrag über ein Bonusprogramm ab, bei dem Kunden durch den Einsatz der Kreditkarte Punkte sammeln und gegen Prämien einlösen konnten. Infolge eines Hackerangriffs am 19.08.2019 wurden personenbezogene Daten der Klägerin von Dritten abgegriffen und im Internet veröffentlicht. Im Vorfeld der Klage, mit der die Klägerin im Wege der Stufenklage zunächst Auskunft begehrte, wurde zwischen den Parteien umfangreicher Schriftverkehr geführt. Die Beklagte lehnte eine Beauskunftung zunächst wegen Nichtvorlage einer Vollmacht des anwaltlichen Vertreters der Klägerin ab.
Hinsichtlich des weiteren Sachverhalts wird auf die tatbestandlichen Feststellungen in der angefochtenen Entscheidung Bezug genommen (§ 540 Abs. 1 Nr. 1 ZPO).
Das Landgericht hat die Klage abgewiesen. Soweit die Klägerin eine Auskunft bezüglich der bei der Beklagten verarbeiteten „personenbezogenen Daten“ begehre (Antrag Ziff. 1 a aa), sei die Klage unzulässig, weil unbestimmt, zumal sie bereits mit Schreiben vom 18.05.2020 (Anlage B 8) verschiedene Auskünfte erhalten habe. Das lasse überdies das Rechtsschutzbedürfnis entfallen. Im Übrigen sei die Klage mangels Bestehens eines Auskunftsanspruchs unbegründet. Das Klagebegehren sei von der Beklagten jedenfalls mit Schreiben vom 12.10.2020 (Anlage B 17) erfüllt worden. Bezüglich der Anträge Ziff. 1 a bb und 1 a cc (Mitteilung der abgegriffenen Daten und ob die Kreditkartenprüfziffer betroffen sei) fehle es an einem Rechtsschutzbedürfnis der Klägerin. Hier seien die entsprechenden Auskünfte der Klägerin bereits vorprozessual mit dem Schreiben vom 22.08.2019 (Anlage K 1), das nicht lediglich eine unverbindliche Einschätzung der Beklagten zum Inhalt gehabt habe, erteilt worden. Unzulässig seien schließlich die Anträge Ziff. 1 a dd bis gg, weil die Klägerin damit nur grundsätzliche Informationen erhalten wolle, die die allgemeine Prozessführung erleichtern solle.
Gegen die mit einem Kostenausspruch versehene und als „Urteil“ bezeichnete Entscheidung wendet sich die Klägerin mit der Berufung, in der sie die Auskunftsanträge und den Antrag auf Versicherung an Eides statt für erledigt erklärt hat. Sie trägt vor und ist der Ansicht, das Landgericht hätte die Klage nicht vollständig abweisen, sondern sich näher mit dem Leistungsantrag auseinandersetzen müssen.
Was das Auskunftsbegehren anbelange, sei der Antrag hinreichend bestimmt gewesen. Die Auskünfte seien von der Beklagten nicht mit der E-Mail vom 22.08.2019 erteilt worden. Dort sei nur davon die Rede gewesen, dass die Daten der Klägerin von dem Hackerangriff betroffen sein könnten. Eine definitive Aussage sei also nicht gemacht worden. Eine gleichlautende E-Mail sei an alle Kunden verschickt worden. Es habe sich allein um eine Art „ad hoc“-Warnung gehandelt. Das vollständige Ausmaß des Datendiebstahls sei erst mit der Auskunft vom 22.10.2020 klar geworden.
Der Leistungsantrag der Klägerin sei aufgrund des Art. 82 DS-GVO begründet. Das Landgericht hätte ihn nicht weitgehend unkommentiert abweisen dürfen. Haftungsgrund seien zwei DS-GVO-Verstöße der Beklagten. Zum einen sei die Beklagte dem Auskunftsbegehren der Beklagten (Art. 15 DS-GVO) zu spät nachgekommen. Gemäß Art. 12 Abs. 3 S. 1 DS-GVO sei eine unverzügliche Beauskunftung geschuldet, die spätestens innerhalb eines Monats erfolgen solle. Die Beklagte sei dem Auskunftsverlangen aber erst nach Klageerhebung nachgekommen. Soweit sie zuvor wegen Nichtvorlage einer Vollmacht des anwaltlichen Vertreters die Auskunft verweigert habe, habe dazu kein Grund bestanden. Der Klägerin sei hieraus ein Schaden entstanden. Hierzu nimmt die Klägerin Bezug auf Gerichtsentscheidungen (Berufungsbegründung S. 8). Ein Schmerzensgeld von 1.000 € sei angemessen. Zum anderen habe die Beklagte es „offensichtlich“ versäumt, geeignete und dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz vor Datendiebstählen zu ergreifen. Der sog. PCI-DSS-Standard sei nicht eingehalten worden. Dies habe den Zugriff von Dritten ermöglicht. Im Einzelnen seien der Klägerin die Maßnahmen der Klägerin nicht bekannt. Darlegungs- und beweisbelastet sei aufgrund der „Garantenpflicht“ in Art. 32 DS-GVO und wegen Art. 82 Abs. 3 DS-GVO ohnehin die Beklagte. Auffällig sei jedenfalls, dass die Beklagte von dem Zeugen S bereits früher auf „eine Sicherheitslücke“ aufmerksam gemacht worden sei. Es sei zu vermuten, dass die Beklagte einen „Penetrationstest“ zum Aufspüren von Sicherheitslücken nicht gemacht habe. Immerhin habe auch der Hessische Beauftragte für Datenschutz „Sicherheitsprobleme“ als Ursache des Datendiebstahls bezeichnet (Anlage BB 1). Der Klägerin sei hierdurch ein weiterer Schaden entstanden, da sie die Kontrolle über ihre Daten vollständig verloren habe. Sie habe zu befürchten, dass Dritte – bspw. bei Online-Bestellungen – ihre Identität einnehmen, was sie weiter ausführt (Berufungsbegründung S. 11 ff.). Ein Schmerzensgeld von mindestens 4.001 € sei gerechtfertigt, wobei zu berücksichtigen sei, dass wegen der Präventivfunktion Verstöße gegen die DS-GVO auch durch abschreckend hohe Schadenersatzbeträge sanktioniert werden müssten.
Die Klägerin beantragt – wobei sie die Klage im Übrigen für erledigt erklärt hat – im Berufungsverfahren:
- Das Urteil des Landgerichts Stuttgart vom 11. November 2020, Az. 14 O 273/20, zugestellt am 18. November 2020, wird aufgehoben.
- Die Beklagte wird verurteilt, der Klägerin einen angemessenen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, jedoch mindestens 5.001 EUR, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen.
Die Beklagte, die sich der Erledigungserklärung anschließt, beantragt, die Berufung zurückzuweisen.
Sie verteidigt das landgerichtliche Urteil als richtig.
Das Leistungbegehren sei nicht begründet. Die Beklagte habe ihre datenschutzrechtlichen Pflichten nicht – schon gar nicht schuldhaft (Art. 82 Abs. 3 DS-GVO) – verletzt. Sie habe den Auftragsverarbeiter gewissenhaft ausgewählt und auf die Einhaltung entsprechender (hinreichender, Art. 24 Abs. 1, 32 Abs. 1 DS-GVO) – Standards geachtet. Das gelte sowohl für die BS EN ISO/IEC 27001:2017 als auch den PCI-DSS-Standard. Ein angemessenes, risikobasiertes Niveau an Datensicherheit habe vorgelegen. Der Auftragsverarbeiter sei auch vertraglich zur Erfüllung aller Anforderungen der DS-GVO verpflichtet worden. Die Beklagte habe die Einhaltung regelmäßig überprüft. Aufgrund der organisatorischen und technischen Maßnahmen nach dem Datendiebstahl sei ein Missbrauch der Daten verhindert worden. Die Klägerin hätte im Übrigen von der Möglichkeit einer Sperrung der Karte und einem kostenlosen Ersatz Gebrauch machen können. Die Klägerin habe eine Verletzung datenschutzrechtlicher Vorgaben nicht dargelegt und nicht bewiesen. Sie habe – was die Verletzung von Sicherheitsstandards betrifft – nur Vermutungen geäußert. Das genüge nicht. Der Hackerangriff habe trotz einer hinreichenden Sicherheitsarchitektur letztlich nicht verhindert werden können. Eine Haftung für unvorhergesehene Ereignisse treffe die Beklagte nicht. Anzeichen eines angeblichen Datenlecks habe es nicht gegeben. Weder die E-Mail des Zeugen S, noch abhandengekommene „Gutscheine“ hätten mit dem Datendiebstahl etwas zu tun. Und was den Bericht des Hessischen Beauftragten für Datenschutz angehe, habe dieser die Maßnahmen der Beklagten als ausreichend erachtet. Auch auf eine verzögerte Beauskunftung könne sie einen Schadenersatzanspruch nicht stützen. Die Beklagte habe das Auskunftsgesuch mangels Vollmachtsvorlage zurückweisen dürfen.
Im Übrigen fehle es jedenfalls an der Kausalität einer angeblichen Datenschutzverletzung für den angeblichen Schaden der Klägerin, dessen Vorliegen die Beklagte ebenfalls in Abrede stellt (Berufungserwiderung Rn. 134 ff.). Schließlich meint die Beklagte, sich für ein etwaiges Fehlverhalten des Auftragsverarbeiters exkulpieren zu können (Art. 82 Abs. 3 DS-GVO).
Was die – für erledigt erklärte – Auskunftsklage anlangt, sei das Auskunftsbegehren teils unzulässig, jedenfalls unbegründet gewesen. Eine Veranlassung zur Klage habe die Beklagte nicht gegeben, da der Prozessbevollmächtigte der Klägerin seine Legitimation erstmals mit Zustellung der Klage am 20.04.2020 nachgewiesen habe. Das Auskunftsbegehren habe die Beklagte anschließend umfassend erfüllt. Weitere Informationen seien auf den Antrag Ziff. 1 a aa nicht geschuldet gewesen. Ein Rechtsschutzbedürfnis für eine Auskunft, welche Informationen von Dritten abgegriffen worden seien und ob die Prüfziffer betroffen gewesen sei (Antrag Ziff. 1 a bb und cc) habe die Klägerin nicht gehabt. Die Informationen mit E-Mail vom 22.08.2019 (Anlage K 1) seien ausreichend und verbindlich gewesen. Einen Anspruch auf die mit den Anträgen Ziff. 1 a dd bis gg verlangten Informationen gebe die DS-GVO nicht her.
II.
Die gemäß § 511 ZPO statthafte und auch im Übrigen zulässige, insbesondere form- und fristgerecht eingelegte (1.) Berufung der Klägerin gegen das Endurteil des Landgerichts ist unbegründet
(2.).
1.
Die Berufung ist zulässig. Sie richtet sich, was die Klägerin nicht verkannt hat, gegen ein Endurteil.
Das Landgericht hat kein Teilurteil (§ 301 ZPO) erlassen. Es hat die Klage schon ausweislich des Tenors insgesamt abgewiesen. Hierbei hat es eine Kostenentscheidung getroffen und diese nicht etwa – wie bei einem Teilurteil – dem Schlussurteil vorbehalten. Auch in den Entscheidungsgründen ist aufgeführt, dass die Stufenklage (insgesamt) nicht zulässig und im Übrigen auch nicht begründet sei. Dass das Landgericht neben einem Hinweis auf die seines Erachtens zutreffenden Ausführungen der Beklagtenseite zum Leistungsantrag keine weitergehenden Ausführungen gemacht hat, ist daneben nicht entscheidend.
Die Berufungsbegründung wahrt die Anforderungen des § 520 Abs. 3 Satz 2 Nr. 2 ZPO. Nach dieser Vorschrift muss die Berufungsbegründung die Umstände bezeichnen, aus denen sich nach Ansicht des Berufungsklägers die Rechtsverletzung und deren Erheblichkeit für die angefochtene Entscheidung ergibt; nach § 520 Abs. 3 Satz 2 Nr. 3 ZPO muss sie konkrete Anhaltspunkte bezeichnen, die Zweifel an der Richtigkeit oder Vollständigkeit der Tatsachenfeststellungen in dem angefochtenen Urteil begründen und deshalb eine erneute Feststellung gebieten. Dazu gehört eine aus sich heraus verständliche Angabe, welche bestimmten Punkte des angefochtenen Urteils der Berufungskläger bekämpft und welche tatsächlichen oder rechtlichen Gründe er ihnen im Einzelnen entgegensetzt. Besondere formale Anforderungen bestehen zwar nicht; auch ist es für die Zulässigkeit der Berufung ohne Bedeutung, ob die Ausführungen in sich schlüssig oder rechtlich haltbar sind. Die Berufungsbegründung muss aber auf den konkreten Streitfall zugeschnitten sein. Es reicht nicht aus, die Auffassung des Erstgerichts mit formularmäßigen Sätzen oder allgemeinen Redewendungen zu rügen oder lediglich auf das Vorbringen erster Instanz zu verweisen (st. Rspr., vgl. BGH, Beschluss vom 03.03.2015 – VI ZB 6/14, VersR 2016, 480 [Rn. 5]; Beschluss vom 11.02.2020 – VI ZB 54/19, Rn. 5, juris; Beschluss vom 07.05.2020 – IX ZB 62/18, Rn. 11, juris).
Dem wird die Berufungsbegründung noch gerecht. Zwar trifft es zu, dass die Berufungsbegründung auf die abgewiesenen (ohnehin für erledigt erklärten) Klageanträge Ziff. 1 a dd bis gg nicht dezidiert eingeht. Die Berufungsbegründung verhält sich allerdings allgemein zur Abweisung der vom Landgericht augenscheinlich insgesamt für unzulässig erachteten Stufenklage und weist darauf hin, dass bei Bedenken gegen die Zulässigkeit eine Umdeutung in eine Klagehäufung hätte erfolgen müssen. Dies trifft auch auf die mit der Begründung, sie dienten nicht der Vorbereitung des Leistungsantrags, als unzulässig abgewiesenen Anträge Ziff. 1 a dd bis gg zu.
Keinen Bedenken aus prozessualer Sicht begegnet schließlich, dass die Klägerin die Anträge Ziff. 1 und 2 im Berufungsverfahren für erledigt erklärt hat. Eine Erledigung der Hauptsache kann auch in der Rechtsmittelinstanz – selbst noch im Revisionsverfahren – erklärt werden (allg. M., vgl. BGH, Beschluss vom 24.10.2011 – IX ZR 244/09, NJW-RR 2012, 688 [Rn. 6]; Beschluss vom 08.04.2015 – VII ZR 254/14, NJW 2015, 1762 [Rn. 5]). Sie hat zur Folge, dass über die Kosten insoweit nach § 91a ZPO zu befinden ist (dazu unten 3.).
2.
Die Berufung ist unbegründet. Der Klägerin steht gegen die Beklagte ein Schadenersatzanspruch nicht zu. Die Voraussetzungen eines Anspruchs aus Art. 82 Abs. 1 DS-GVO (a.) sind ebenso wenig erfüllt wie die Voraussetzungen eines vertraglichen Schadenersatzanspruchs (b.). a.
Die Anspruchsvoraussetzungen des Art. 82 Abs. 1 DS-GVO sind im Streitfall nicht gegeben.
Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Ein Verstoß der Beklagten als „Verantwortliche“ i.S.d. DS-GVO gegen die DS-GVO liegt weder soweit die Klägerin ihr eine verspätete Beauskunftung vorwirft noch in Bezug auf ein etwaiges „Datenleck“ bei der Beklagten bzw. dem Auftragsverarbeiter vor (dazu aa.). Des Weiteren hat die Klägerin nicht nachgewiesen, dass ein etwaiger Verstoß gegen die gebotenen Sicherungsvorkehrungen für das Abgreifen der Daten durch unbekannte Dritte ursächlich geworden ist (bb.). Darauf, ob es – was sehr zweifelhaft ist – überhaupt bei der Klägerin zu einem Schaden wegen bzw. in Gestalt einer schlicht verzögerten Beauskunftung gekommen ist, kommt es ebenso wenig an wie auf die Frage, ob bereits das Abgreifen der Daten durch Dritte einen Schaden darstellt (vgl. zur Frage, ob der Datenverlust allein einen Schaden i.S.d. Art. 82 Abs. 1 DS-GVO darstellen kann, Kohn, ZD 2019, 498, 501; Paal, MMR 2020, 14, 16 m.w.N.). Auch die Frage, ob und in welcher Höhe deswegen Schmerzensgeld zu leisten wäre (vgl. zur Frage, ob auch bei Bagatellschäden ein Anspruch auf Ersatz immateriellen Schadens besteht bspw. Wybutil, NJW 2019, 3265, 3267; Bergt, in: Kühling/Buchner, 3. Aufl.
2020, DS-GVO, Art. 82 DS-GVO Rn. 18a), braucht der Senat nicht zu entscheiden.
aa.
Ein Verstoß der Beklagten gegen die DS-GVO ist nicht festzustellen.
Gemäß Art. 82 Abs. 1 DS-GVO haftet der Verantwortliche für Schäden wegen „Verstößen gegen diese Verordnung“. Grund und damit unabdingbare Voraussetzung der Haftung ist eine Pflichtverletzung (Kohn, ZD 2019, 498, 500), wenngleich es auf einen Schutznormcharakter der verletzten Vorschrift nicht ankommt, der Begriff der Pflichtverletzung also denkbar weit gefasst ist und letztlich jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt (siehe Erwägungsgrund 146, wonach sogar die Verletzung delegierter Rechtsakte und nationalen, die Verordnung konkretisierenden Rechts genügt: […] includes processing that infringes delegated and implementing acts adopted in accordance with this Regulation and Member State law specifying rules of this Regulation. / […] comprend aussi un traitement effectué en violation des actes délégués et d’exécution adoptés conformément au présent règlement et au droit d’un État membre précisant les règles du présent règlement).
Im Streitfall liegt eine Pflichtverletzung in diesem Sinne nicht vor. Die Beklagte hat weder ein Auskunftsersuchen der Klägerin zu spät beantwortet [dazu (1)], noch hat die Klägerin nachgewiesen, dass die Beklagte die Daten unzureichend geschützt hat [dazu (2)].
(1) Die Beklagte hat das Auskunftsersuchen der Klägerin (Art. 15 DS-GVO) nicht zu spät beantwortet. Ein Verstoß gegen die DS-GVO liegt insoweit nicht vor.
- Für die Beantwortung eines Auskunftsersuchens der betroffenen Person – hier der Klägerin – nach Art. 15 DS-GVO gilt gemäß Art. 12 Abs. 3 S. 1 DS-GVO, dass der Verantwortliche der betroffenen Person die auf den Antrag hin ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung mitzuteilen hat. Entgegen der Ansicht der Klägerin hat die Beklagte diese Frist nicht versäumt. Ihre mit E-Mail vom 18.05.2020 (Anlage B 8) erfolgte Beauskunftung war rechtzeitig. Die Frist begann erst mit dem klagweise geltend gemachten Auskunftsverlangen zu laufen, also mit dem Tag der Zustellung der Klage (20.04.2020).
Die Monatsfrist ist (obschon Maximalfrist) gewahrt. Schließlich bezieht sich die Frist ohnehin nicht auf die nach Art. 15 DS-GVO geschuldeten Informationen selbst, sondern „nur“ auf die Beschreibung der zur Verwirklichung der Auskunft ergriffenen Maßnahmen. Darauf, dass die Beklagte dem nicht nachgekommen sei, hat sich die Klägerin schon nicht gestützt. Da die Beklagte dann innerhalb von weniger als einem Monat nicht nur die Maßnahmen ergriffen, sondern sogar die komplette Auskunft erstattet hat, kann von einer verzögerten Beauskunftung nicht ausgegangen werden.
- Auf den zuvor von dem Prozessbevollmächtigten für die Klägerin gestellten Auskunftsantrag (Schreiben vom 06.09.2019) musste die Beklagte eine Auskunft nicht erteilen. Denn die Beklagte wies den Antrag mangels Vorlage einer Originalvollmacht zurück (Anlage K 3). Dies mit Recht.
Die DS-GVO knüpft die Auskunftspflicht des Verantwortlichen an einen Auskunftsantrag, der von der betreffenden Person gestellt wird. An einem solchen Antrag fehlt es vorliegend.
Allerdings kann der Betroffene nach allgemeiner Meinung auch einen Dritten mit der Geltendmachung des Auskunftsverlangens aus Art. 15 DS-GVO bevollmächtigen. Hierfür spricht nicht zuletzt die DS-GVO selbst, die es in Art. 80 DS-GVO dem Betroffenen – wenn vom Recht eines Mitgliedstaates vorgesehen – ermöglicht, eine Einrichtung, Organisation oder Vereinigung mit der Durchsetzung seiner Rechte aus Art. 77 bis 79 und 82 zu betrauen. In jedem Fall setzt dies freilich das Vorliegen einer entsprechenden Bevollmächtigung voraus; zudem ist die Vollmacht im Zeitpunkt des Auskunftsverlangens gegenüber dem Verantwortlichen nachzuweisen (vgl. Franck, in: Gola, DS-GVO, 2. Aufl. 2018 Art. 15 DS-GVO Rn. 25;
BeckOK-DatenschutzR/Schmidt-Wudy, 34. Ed. Stand 01.11.2020, Art. 15 DS-GVO Rn. 44). Insoweit gilt § 174 BGB entsprechend. Hiernach ist ein einseitiges Rechtsgeschäft, das ein Bevollmächtigter einem anderen gegenüber vornimmt, wenn der Bevollmächtigte eine Vollmachtsurkunde nicht vorlegt und der andere das Rechtsgeschäft aus diesem Grunde unverzüglich zurückweist, unwirksam (im Ergebnis ebenso AG Berlin-Mitte, Urteil vom 29.07.2019 – 7 C 185/18, ZD 2020, 647 [Rn. 15]).
Der Heranziehung des § 174 BGB steht die DS-GVO nicht entgegen. Diese verhält sich zu Fragen der Bevollmächtigung nicht. Im Gegenteil enthält sie sich einer Regelung der hiermit verbundenen Fragestellungen – wie Art. 80 DS-GVO mit dem weitgehenden Verweis auf das Recht des Mitgliedsstaates – zeigt. Die Anwendung des § 174 BGB behindert auch nicht etwa eine effektive Durchsetzung des gemeinschaftsrechtlich garantierten Auskunftsanspruchs. Schließlich hält die DS-GVO den Verantwortlichen explizit dazu an, die Berechtigung des Antragenden zu prüfen. Bei begründeten Zweifeln an der Identität der natürlichen Person, die den Antrag stellt, kann er deswegen zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Mit dem Schutzzweck des Art. 12 Abs. 6 DS-GVO steht § 174 BGB daher im Einklang, schützt doch auch er die betroffene Person vor einer Preisgabe der zu schützenden Daten an Dritte. Und schließlich ist es für die betroffene Person kein unüberbrückbares Hindernis, dass entweder der Bevollmächtigte die Vollmacht (im Original) nachweist oder aber sie selbst den Verantwortlichen – wofür die Einhaltung einer besonderen Form nicht erforderlich ist (jurisPK-BGB/Weinland, 9. Aufl. 2020, Stand: 12.02.2021, § 174 BGB Rn. 27) – von der Bevollmächtigung in Kenntnis setzt (§ 174 S. 2 BGB).
(c) Eine Originalvollmacht legte der Prozessbevollmächtigte vorprozessual der Beklagten nicht vor. Die Beklagte wies deswegen das Auskunftsersuchen unverzüglich zurück.
Entgegen der Ansicht der Klägerin genügte die Vorlage eines „Signing Log“ über eine von der Klägerin elektronisch erfolgte Signatur nicht. Es kann dahinstehen, ob und welchen Anforderungen der von dem Klägervertreter verwendete Dienst genügt. Im Rahmen des § 174 BGB genügt nur die Vorlage einer Urkunde. Unter den zivilrechtlichen Begriff der Urkunde fallen keine elektronische Erklärungen, sondern nur solche verkörperte Erklärungen, die ohne die Verwendung technischer Hilfsmittel lesbar sind (MüKo-BGB/Einsele, 8. Aufl. 2018, § 126 BGB Rn. 25). Die elektronische Form kann eine Urkunde von Gesetzes wegen nicht ersetzen (§ 126 Abs. 3 Hs. 2 BGB).
(2) Ein Verstoß der Beklagten ist auch insoweit nicht festzustellen, als die Klägerin der Beklagten vorwirft, sie habe unzureichende Sicherungsvorkehrungen gegen Hackerangriffe unternommen.
- Allerdings hat der Verantwortliche gemäß Art. 32 Abs. 1 DS-GVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Auch hat die Beklagte sich auf einen Verstoß gegen diese Vorschrift berufen. Sie hat u.a. geltend gemacht, es sei zu vermuten, dass die Beklagte wesentliche Teile der personenbezogenen Daten unverschlüsselt gespeichert habe. Sie habe offensichtlich verabsäumt, den erforderlichen Standard „PCI-DSS“ einzuhalten. Denn sonst hätte es zu dem Abgreifen von Daten durch unbekannte Dritte nicht kommen können. Dabei sei sie bereits rund einen Monat vor dem Entdecken des Hackerangriffs von dem Zeugen S per E-Mail auf eine Sicherheitslücke hingewiesen worden (Anlage K 10). Im Übrigen sei es etwa ein Jahr nach der Attacke zu mehreren „Diebstählen“ von Gutscheinen gekommen, welche Nutzer des Bonusprogramms durch Einsatz ihrer Coins erworben hatten. Die Beklagte habe im Juli 2019 auch eine neuerliche Warnung vor einem Hackerangriff erhalten.
- Ein Verstoß gegen die Anforderungen des Art. 32 DS-GVO ist damit nicht erwiesen. Der Senat vermag sich allein aufgrund der klägerseits geäußerten Vermutungen nicht die Überzeugung zu bilden, dass die Beklagte nicht alle im konkreten Fall erforderlichen Sicherheitsvorkehrungen – die nie jede Art von Hackerangriff sicher ausschließen können und nach der gesetzlichen Regelung auch nicht müssen – einhielt. Die Klägerin hat behauptet, dass die Beklagte einen Standard (PCI-DSS) nicht eingehalten habe, für diese bestrittene Behauptung aber keinen Beweis angeboten. Der Hinweis in dem Bericht des Hessischen Beauftragten für Datenschutz (auszugsweise vorgelegt mit Anlage BB 1) legt zwar eine „Sicherheitslücke“ nahe, vermutet diese aber auch nur und enthält gerade keinen Hinweis auf die Nichteinhaltung des o.g. Standards, sondern weist undifferenziert auf „Sicherheitsprobleme“ hin. Soweit schließlich die Klägerin vorträgt, die Beklagte sei auf Sicherheitsmängel hingewiesen worden, ist ein Zusammenhang zu dem späteren Datenabgriff bestritten. Auch das – ohnehin spätere – „Entwenden“ von Gutscheinen erlaubt keinen Rückschluss, wie das Abgreifen der persönlichen Daten geschah. Denn die an die Kunden verteilten Gutscheine können schlicht auch dort abgegriffen worden sein.
- Die DSGVO ändert entgegen der Ansicht der Klägerin (Ss. vom 23.03.2021 S. 8 f.) nichts daran, dass die Beklagte die Darlegungs- und Beweislast für eine haftungsbegründende Pflichtverletzung der Beklagten trägt.
Das Unionsrecht enthält, wie der österreichische Oberste Gerichtshof jüngst zutreffend bemerkt hat, zur Beweislast keine ausdrücklichen Bestimmungen. Das gilt insbesondere auch für den Normverstoß an sich (vgl. öOGH, Urteil vom 27.11.2019 – 6 Ob 217/19h, BeckRS 2019, 36677 [Rn. 29]). Hier verbleibt es beim allgemeinen Grundsatz, dass der Anspruchsteller die Anspruchsvoraussetzungen vorzutragen und nachzuweisen hat (vgl. Spindler/Horváth, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Rn. 11; Plath/Becker, DSGVO/BDSG, 3. Aufl. 2018, Art. 82 DS-GVO Rn. 4; Wybutil, NJW 2019, 3265, 3268). Erst wenn ein Verstoß festgestellt ist, hilft dem Geschädigten – allerdings auch nur hinsichtlich des Verschuldens – die Regelung in Art. 82 Abs. 3 DS-GVO, wonach hinsichtlich des Verschuldens der Verantwortliche sich exkulpieren muss, andernfalls von einem schuldhaften Verstoß auszugehen ist (vgl. LG Karlsruhe, Urteil vom 02.08.2019 – 8 O 26/19, ZD 2019, 511, 512; LG Frankfurt a.M., Urteil vom 18.01.2021 – 30 O 147/20, zitiert nach Leibold, ZD-Aktuell 2021, 05043).
- Allerdings wird in verschiedentlicher Hinsicht vertreten, dass die allgemeine Rechenschaftspflicht des Verantwortlichen aus Art. 5 Abs. 2 DS-GVO bei letztlich allen Tatbestandsmerkmalen (zur Frage der Kausalität noch unten bb.) Beachtung finden müsse (vgl. BeckOK-Datenschutzrecht/Quaas, 34. Ed. Stand 01.11.2020, § 82 DS-GVO Rn. 16 [“Erleichterungen“]; wohl auch Paal, MMR 2020, 14, 17 [“faktische Modifikation der allgemeinen Beweislastregelung“]; Bergt, in: Kühling/Buchner, 3. Aufl. 2020, Art. 82 DS-GVO Rn. 46 [“in weiten Bereichen zu einer Beweislastumkehr“]; sich dem anschließend LAG Baden-Württemberg, Urteil vom 25.02.2021 – 17 Sa 37/20, Rn. 61, juris). Daraus wird teilweise gefolgert, es müsse genügen, dass die betroffene Person Anhaltspunkte für einen Datenschutzverstoß vorträgt (Franzen, in: Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 82 DS-GVO Rn. 16 m.w.N.) oder schlüssig vorträgt, personenbezogene Daten seien unter Verletzung der DS-GVO und damit möglicherweise rechtswidrig verarbeitet worden (Kohn, ZD 2019, 498, 502). Zudem wird von manchen das Problemfeld „Hackerangriff“ vorrangig der Frage der Exkulpationsmöglichkeit nach Art. 82 Abs. 3 DS-GVO zugeordnet. Dabei soll der Verantwortliche sich nur entlasten können, wenn er die übliche Sorgfalt zum Schutz der Daten eingehalten habe und dies nachweise (vgl. BeckOK-Datenschutzrecht/Quaas, 34. Ed. Stand 01.11.2020, § 82
DS-GVO Rn. 18; Plath/Becker, DSGVO/BDSG, 3. Aufl. 2018, Art. 82
DS-GVO Rn. 5/5a; Frenzel, in: Paal/Pauly, DS-GVO, 3. Aufl. 2021 Rn. 15, Art. 82 DS-GVO Rn. 15).
- Das überzeugt so nicht (i.E. ebenso die wohl h.M., die auch in Art. 82 Abs. 3 allein eine Regelung zur Verschuldensvermutung sieht, Gola/Piltz, in: Gola, DS-GVO, 2. Aufl. 2018 Art. 82 DS-GVO Rn. 18;Tribess, Anm. zu öOGH, Urteil vom 27.11.2019 – 6 Ob 217/19h, GWR 2020, 140;
Spindler/Horváth, in: Spindler/Schuster, Recht der elektronischen Medien, 4.
Aufl. 2019, Rn. 11; Plath/Becker, DSGVO/BDSG, 3. Aufl. 2018, Art. 82 DS-GVO Rn. 4; Specht/Mantz, Handbuch Europäisches und deustsches Datenschutzrecht, 2019, § 3 Rn. 243; Specht/Mantz, Handbuch Europäisches und deustsches Datenschutzrecht, 2019, § 3 Rn. 243; Wybutil, NJW 2019, 3265, 3268). Die DS-GVO enthält kein Beweisrecht (vgl. Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, 2017, Kap. F Rn. 1250). Es gelten die Beweisregeln des jeweiligen nationalen Prozessrechts.
Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. Das wird von der differenzierten Regelung in Art. 33 und 34 DS-GVO bezüglich der Mitteilungspflichten gegenüber Behörde einerseits und Betroffenem andererseits im Falle einer Verletzung des Schutzes personenbezogener Daten untermauert. Der Verantwortliche ist grundsätzlich gehalten, der Behörde eine Mitteilung binnen 72 Stunden zu machen. Er darf hiervon allerdings nach eigener Beurteilung absehen, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Dem Betroffenen ist – anders als der Behörde – von der Art der Verletzung des
Schutzes personenbezogener Daten (Art. 33 Abs. 3 lit. a DS-GVO) gerade nicht zu unterrichten (Art. 34 Abs. 2 DS-GVO). Zudem setzt seine Benachrichtigung weiter voraus, dass „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ besteht.
Auf die Rechenschaftspflicht kann eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden. Andernfalls würde auf einem Umweg der Verantwortliche gegenüber jedem einzelnen Betroffenen rechenschaftspflichtig. Den Betroffenen gesteht die DS-GVO jedoch nur eingeschränkte Rechte zu, wie Art. 15 DS-GVO zeigt (i.E. ebenso Tribess, Anm. zu öOGH, Urteil vom 27.11.2019 – 6 Ob 217/19h, GWR 2020, 140; Wybutil, NJW 2019, 3265, 3268; Spindler, DB 2016, 937, 947). Ebenso wenig ist dem Begriff der „Verantwortlichkeit“ i.S.d. Art. 82 Abs. 3 DS-GVO zu entnehmen, dass sich der Verantwortliche neben dem Verschulden bezüglich aller anderen Tatbestandsmerkmale, also auch bezüglich des Pflichtenverstoßes selbst bereits in objektiver Hinsicht zu exkulpieren hätte, ein Pflichtenverstoß also zu vermuten wäre (vgl. Piltz/Zwerschke, GRUR-Prax 2021, 11, 12). Schließlich überzeugt es nicht, wegen des Umstandes, dass typischerweise der Betroffene keinen Einblick in die Verarbeitungsabläufe von Verantwortlichen und Auftragsverarbeiter habe, eine Beweislastumkehr oder Beweiserleichterungen aus der DS-GVO herzuleiten (so aber Bergt, in: Kühling/Buchner, 3. Aufl. 2020, Art. 82 DS-GVO Rn. 47; Gola/Piltz, in: Gola, DS-GVO, 2. Aufl. 2018 Art. 82 DS-GVO Rn. 15). Der Umstand mangelnden Einblicks des Anspruchstellers in interne Vorgänge beim Anspruchsgegner ist eine generelle Erscheinung und nicht kennzeichnend gerade für das Verhältnis von Betroffenem und Verpflichtetem i.S.d. DS-GVO. Das Prozessrecht bietet (dazu sogleich) hinreichende Möglichkeiten, eine effektive Rechtsdurchsetzung zu gewährleisten – und nur darum geht es auch aus gemeinschaftsrechtlicher Sicht (vgl. Specht/Mantz, Handbuch Europäisches und deustsches Datenschutzrecht, 2019, § 3 Rn. 243; insoweit zutr. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 8 Rn. 23; so zu verstehen wohl auch Nehmitz, in: Ehmann/Selmayr, Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 82 DS-GVO Rn. 21 [“Beweislastverteilung nach Verantwortungssphären“ – unter Hinweis auf die sekundäre Darlegungslast, § 79 Rn. 7]; ).
(cc) Kommen sonach für die Feststellung eines Anspruchs nach Art. 82 DS-GVO die allgemeinen Beweisregeln der ZPO zur Anwendung, ist allerdings zu beachten, dass gemäß dem Effektivitätsgrundsatz das nationale Beweisrecht keine unüberbrückbaren Hürden für die Geltendmachung des Anspruchs vorsehen darf (vgl. öOGH, Urteil vom 27.11.2019 – 6 Ob 217/19h, BeckRS 2019, 36677 [Rn. 25]; in diese Richtung auch Sydow, Europäische Datenschutzgrundverordnung, Art. 82 DS-GVO Rn. 8).
Insoweit entspricht es ständiger Rechtsprechung des Gerichtshofs der Europäischen Union (nachfolgend: Gerichtshof), dass jeder Fall, in dem sich die Frage stellt, ob eine nationale Verfahrensvorschrift die Anwendung des Unionsrechts unmöglich macht oder übermäßig erschwert, unter Berücksichtigung der Stellung dieser Vorschrift im gesamten Verfahren, des Verfahrensablaufs und der Besonderheiten des Verfahrens vor den verschiedenen nationalen Stellen zu prüfen ist (EuGH, Urteil vom 14.06.2012 – C-618/10 [Banco Español de Crédito SA/Joaquín Calderón Camino], Rn. 49, juris). Dabei sind gegebenenfalls die Grundsätze zu berücksichtigen, die dem nationalen Rechtsschutzsystem zugrunde liegen, wie z.B. der Schutz der Verteidigungsrechte, der Grundsatz der Rechtssicherheit und der ordnungsgemäße Ablauf des Verfahrens (EuGH, Urteil vom 14.12.1995 – C-312/93 [Peterbroeck], Rn. 14, juris; EuGH, Urteil vom 06.10.2009 – C-40/08 [Asturcom Telecomunicaciones], Rn. 39, juris).
Diese Anforderungen sind jedoch bei Heranziehung der Grundsätze über die sekundäre Darlegungslast im deutschen Zivilprozessrecht gewahrt. Eine sekundäre Darlegungslast trifft den Prozessgegner der primär darlegungsbelasteten Partei, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hat, während der Bestreitende alle wesentlichen Tatsachen kennt und es ihm unschwer möglich und zumutbar ist, nähere Angaben zu machen (st. Rspr., vgl. etwa BGH, Urteil vom 10.02.2015 – VI ZR 343/13, WM 2015, 743 [Rn. 11]; Urteil vom 18.12.2019 – XII ZR 13/19, NJW 2020, 755 [Rn. 35]; Urteil vom 18.01.2018 – I ZR 150/15, NJW 2018, 2412 [Rn. 30], jew. m.w.N.). Dem Bestreitenden obliegt es im Rahmen seiner sekundären Darlegungslast, Nachforschungen zu unternehmen, wenn ihm dies zumutbar ist (BGH, Urteil vom 01.03.2016 – VI ZR 34/15, BGHZ 209, 139 [Rn. 48]; Urteil vom 28.06.2016 – VI ZR 559/14, NJW 2016, 3244 [Rn. 18]). Das gilt insbesondere dann, wenn eine Partei persönliche Wahrnehmungen oder Handlungen der Gegenpartei behauptet; dann ist der bestreitenden Gegenpartei i.d.R. zuzumuten, dass sie Gegenbehauptungen aufstellt bzw. entsprechende Nachforschungen anstellt (Thomas/Putzo/Reichold, ZPO, 41. Aufl. 2020, § 138 ZPO, Rn. 16; Vorbem. § 284 ZPO, Rn. 18a). Genügt der Anspruchsgegner seiner sekundären Darlegungslast nicht, gilt die Behauptung des Anspruchstellers nach § 138 Abs. 3 ZPO als zugestanden (st. Rspr., vgl. etwa BGH, Urteil vom
18.01.2018 – I ZR 150/15, NJW 2018, 2412 [Rn. 30] m.w.N.; Urteil vom 25. Mai 2020 – VI ZR 252/19, Rn. 37, juris).
Dem durch einen potentiellen Datenschutzverstoß Geschädigten wird es somit nicht unmöglich gemacht oder übermäßig erschwert, seinen Anspruch durchzusetzen. Ohnehin hat der Verordnungsgeber dem Betroffenen eigene Informationsrechte zuerkannt (Art. 13, 14 und 15 DS-GVO) und bei einer Verletzung des Schutzes personenbezogener Daten eine – im Streitfall auch erfolgte – Mitteilung des Verantwortlichen gegenüber der Behörde, aber auch gegenüber dem Betroffenen vorgesehen (Art. 33, 34 DS-GVO). Betroffene können somit die Vorgaben der DS-GVO nutzen, um ihre prozessuale Situation dadurch erheblich zu verbessern, dass sie für spätere Gerichtsverfahren hilfreiche Informationen direkt vom Verantwortlichen einholen (Wybutil, NJW 2018, 113, 116) Die Grundsätze über die sekundäre Darlegungslast helfen dem Betroffenen je nach den Umständen darüber hinaus weiter, wenn er darlegt, dass und in welcher Weise es ihm nicht möglich ist, zu den maßgeblichen Umständen – hier einer unsicheren Datenverarbeitung – weitere Nachforschungen zu betreiben und dass ihm Beweismittel nicht zur Verfügung stehen, er also in Beweisnot ist. Mehr verlangt der Effektivitätsgrundsatz nicht. Insbesondere verlangt er keine Beweislastumkehr bezüglich der Tatbestandsmerkmale des Art. 82 DS-GVO (a.A. wohl Kohn, ZD 2019, 498, 500, wonach sich der Entlastungsbeweis „auf die objektiven Umstände der Pflichtverletzung“ beziehe). Ansonsten bestünde eine Art Gefährdungshaftung, die der Verordnungsgeber offensichtlich nicht einführen wollte.
- Die Anwendung der vorgenannten Grundsätze über die sekundäre Darlegungslast führt im Streitfall nicht zu weiteren Erleichterungen für die Klägerin. Die Klägerin hat zwar – insoweit zu Recht – darauf hingewiesen, dass es sich bei der Datenverarbeitung um Interna der Beklagten handele, in die sie keinen Einblick habe. Die Beklagte hat jedoch zur Verarbeitung, insbesondere den anzuwendenden und eingehaltenen sowie regelmäßig überprüften Standards eingehend vorgetragen. Das hält der Senat für ausreichend. Die
Beklagte hat nicht nur zu dem allgemeinen Zertifikat ISO/IEC 27001:2017 Vortrag gehalten, sondern zu dem konkreten Standard. Gerade diesen hält auch die Klägerin für entscheidend (BB 9, GA 48). Dass die Beklagte eine genaue Kenntnis davon hat, wie der Hacker vorgingen und welche „Lücke“ sie nutzten, hat die Klägerin schon nicht behauptet. Es liegt auch nicht auf der Hand, dass die Beklagte jede inkriminierte Handlung in ihren Einzelheiten aufdecken konnte und deswegen es ihr unschwer möglich wäre, nähere Angaben zu machen. Es wäre an der Klägerin, ihren (konkreten) Vortrag, dass ein bestimmter Standard nicht eingehalten wurde, zu beweisen. Dass sie sich in einer solchen Beweisnot befinden würde, die es ihr nicht ermöglichte, die wesentlichen Tatsachen aufzuklären, vermag der Senat nicht zu bejahen. Insbesondere liegt es nahe, von dem Hessischen Beauftragten für Datenschutz, zu dem die Klägerin Kontakt hatte (vgl. Anlage zum Ss. vom 23.03.2021) und der auch als Zeuge benannt werden könnte, nähere Erkenntnisse zu den angeblichen „Sicherheitsproblemen“ zu erhalten. Schließlich wäre auch die Beklagte – würde man ihr auferlegen wollen, nähere Angaben zu machen – im Rahmen von Nachforschungen darauf angewiesen, u.a. auf die Ermittlungen des Hessischen Beauftragten für Datenschutz zurückzugreifen.
Die Beklagte ist aber nicht gehalten, der Klägerin Material für den Prozesssieg zu verschaffen, das sie nicht hat und das die Klägerin auch beschaffen könnte. Eine allgemeine prozessuale Aufklärungspflicht der nicht darlegungs- und beweisbelasteten Partei besteht nicht (BGH, Beschluss vom 20.11.2018 – II ZB 22/17, Rn. 19, juris).
- Der Senat sieht schließlich auch keine Grundlage für eine tatsächliche Vermutung. Dass es zu einem erfolgreichen Hackerangriff kommt, lässt auch keinen halbwegs begründeten Schluss darauf zu, es habe an Sicherheitsvorkehrungen gemangelt. Denn Hacker machen sich zum Teil geradezu einen Sport daraus, auch besonders gute Sicherungsvorkehrungen zu „knacken“. Ohnehin hat der Verantwortliche nach den Bestimmungen der DS-GVO kein „absolutes“, sondern nur ein dem Risiko angemessenes Schutzniveau vorzusehen (Art. DS-GVO). Auch soweit die Klägerin wiederholt (Ss. vom 23.03.2021 S. 7 ff.) betont, dass die abgegriffenen Daten „immer noch“ im Netz verfügbar sind, lässt dies keinerlei Rückschlüsse darauf zu, weshalb die Daten von Dritten gehackt werden konnten. Dasselbe gilt bezüglich der Versuche, den Auftragsverarbeiter als unzuverlässig darzustellen, weil ihm angeblich nicht gelungen sei, „adäquate und rechtskonforme Datenschutzinformationen“ auf seiner Homepage zur Verfügung zu stellen (Ss. vom 23.03.2021 S. 9).
- Der Senat sieht sich nicht veranlasst, von Amts wegen (§ 144 ZPO) ein Sachverständigengutachten dazu einzuholen, ob die Beklagte gegen die gemäß der DS-GVO gebotenen Sicherheitsvorkehrungen verstoßen hat.
Nach § 144 Abs. 1 Satz 1 ZPO kann zwar das Gericht auch ohne Antrag des Beweispflichtigen die Begutachtung durch Sachverständige anordnen. Durch die Möglichkeit, ein Gutachten von Amts wegen einzuholen, sind die Parteien jedoch nicht von ihrer Darlegungs- und Beweislast befreit (BGH, Urteil vom 27.02.2019 – VIII ZR 255/17, Rn. 18, juris). Die Anordnung steht stets im pflichtgemäßen Ermessen. Dabei ist das Gericht nicht gehalten, ein Gutachten einzuholen, wenn die Partei ein solches ersichtlich nicht wünscht.
So liegt es hier. Die Klägerin hat trotz umfassenden Vortrags und Erörterung im Termin sich allein darauf zurückgezogen, sie treffe keine weitere Darlegungs- und vor allem keinerlei Beweislast. Sie hat sich vielmehr ausdrücklich auf eine sekundäre Beweislast, die es allerdings nicht gibt, berufen. Die Einholung eines möglicherweise naheliegenden Sachverständigengutachtens hat sie – auch als Hilfserwägung – offenbar bewusst nicht angesprochen. Im Übrigen ist das Bonusprogramm bereits eingestellt und es deswegen gerade nicht auf der Hand liegend, dass und welche Daten bei der Auftragsverarbeiterin noch vorhanden sind, die auch noch einen Rückschluss auf die zum Zeitpunkt des Hackerangriffs vorhandene Konfiguration zuließe.
- Dem Antrag auf Beiziehung der Akten der Generalstaatsanwaltschaft Bamberg – 640 Ujs 5480/19 – war nicht nachzugehen. Ein solcher Antrag genügt nicht den an einen Beweisantrag zu stellenden gesetzlichen Erfordernissen, wenn die Partei – wie hier – nicht näher darlegt, welche Urkunden oder Aktenteile sie für erheblich hält (st. Rspr., BGH, Urteil vom 23.11.2007 – LwZR 5/07, Rn. 20, juris; Urteil vom 12.11.2003 – XII ZR 109/01, Rn. 16, juris). Ohnehin würde, wenn der Senat – quod non – dem Antrag stattgäbe, damit nicht ohne weiteres der gesamte Akteninhalt zum Gegenstand des Rechtsstreits; denn das Gericht betriebe eine unzulässige Beweisermittlung, wenn es von sich aus die beigezogenen Akten daraufhin überprüfen wollte, ob sie Tatsachen enthalten, die einer Partei günstig sind (BGH, a.a.O.).
bb.
Ein – wie gezeigt (oben aa.) schon nicht festzustellender – Verstoß der Beklagten gegen die erforderlichen Sicherheitsvorkehrungen ist für die behauptete Verletzung des Schutzes personenbezogener Daten der Klägerin nicht ursächlich geworden. Die DS-GVO verzichtet im Rahmen des Art. 82 DS-GVO nicht auf die Anspruchsvoraussetzung der Kausalität [unten (1)]. Für den Nachweis greifen auch keine besonderen, aus der Verordnung abzuleitenden Beweiserleichterungen [unten (2)]. Im Streitfall hat die Klägerin nicht nachgewiesen, dass ein – behauptetes – Unterlassen der Beklagten ursächlich für das Abgreifen der Daten im Rahmen des Hackerangriffs geworden ist [unten (3)].
- Der Anspruch aus Art. 82 DS-GVO setzt voraus, dass ein Verstoß gegen die DS-GVO für den Schaden des Betroffenen ursächlich geworden ist.
Die Norm macht vom Kausalitätserfordernis keine Ausnahme, sondern setzt als selbstverständlich voraus, dass es sich um Schäden handeln muss, die auf eine DS-GVO-widrige Verarbeitung von personenbezogenen Daten zurückzuführen ist. Daran ändert die Zielsetzung der Vorschrift (siehe Erwägungsgrund 146), der betroffenen Person einen „vollständigen und wirksamen Schadenersatz“ gewährleisten zu wollen, nichts. Damit ist kein Aufweichen des Kausalitätserfordernisses, auch keine Beweiserleichterung gemeint.
Es genügt also nicht, dass ein etwaiger Schaden auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen ist (zutr. Paal, MMR 2020, 14, 17). Das ergibt sich schon klar aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO, wonach der Schaden „wegen“ eines Verstoßes eingetreten sein muss. Noch deutlicher wird dies in der englischen, schwedischen und dänischen Fassung der Verordnung mit dem Begriff „als Folge“ (as a result of an infringement of this Regulation, till följd av en överträdelse av denna förordning, som følge af en overtrædelse af denne forordning) sowohl in Art. 82 Abs. 1 DS-GVO als auch in dem Erwägungsgrund 146. Der eingetretene Schaden muss demnach gerade durch den geltend gemachten Rechtsverstoß eingetreten sein (Kohn, ZD 2019, 498, 500).
- Auch bezüglich der Kausalität ist aus Art. 82 DS-GVO oder der allgemeinen Rechenschaftspflicht aus Art. 5 Abs. 2 und 24 Abs. 1 keine Beweislastumkehr im Schadenersatzprozess herzuleiten (vgl. öOGH, Urteil vom 27.11.2019 – 6 Ob 217/19h, BeckRS 2019, 36677 [Rn. 29]). Die Verordnung bietet keine Grundlage für eine allgemeine, bereichsspezifische Beweiserleichterung. Bezüglich des Nachweises einer Verursachung gilt nichts anderes als für den Nachweis einer objektiven Pflichtverletzung [dazu oben (aa)]. Die in der Literatur zum Teil (vgl. Bergt, in: Kühling/Buchner, 3. Aufl. 2020, Art. 82 DS-GVO Rn. 47; Paal, MMR 2020, 14, 17) für eine Beweislastumkehr oder Beweiserleichterungen vorgebrachten Argumente überzeugen den Senat nicht (i.E. wie hier bspw. BeckOK-Datenschutzrecht/Quaas, 34. Ed. Stand 01.11.2020, § 82 DS-GVO Rn. 27;
Plath/Becker, DSGVO/BDSG, 3. Aufl. 2018, Art. 82 DS-GVO Rn. 4 mit – der Sache nach – Hinweis auf die sekundäre Darlegungslast; Franzen, in: Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 82 DS-GVO Rn. 15; Spindler, DB 2016, 937, 947; Spindler/Horváth, in: Spindler/Schuster, Recht der elektronischen Medien,
- Aufl. 2019, Rn. 11; Tribess, Anm. zu öOGH, Urteil vom 27.11.2019 – 6 Ob 217/19h,
GWR 2020, 140; Piltz/Zwerschke, GRUR Prax 2011, 11, 13; Wybutil, NJW 2019, 3265, 3268; LG Karlsruhe, Urteil vom 02.08.2019 – 8 O 26/19, ZD 2019, 511, 512; LG Frankfurt a.M., Urteil vom 18.01.2021 – 30 O 147/20, zitiert nach Leibold, ZD-Aktuell 2021, 05043). Gerade für die Frage der Kausalität greift das Argument der Rechenschaftspflicht des Verantwortlichen i.S.d. DS-GVO entgegen der Rechtsansicht der Klägerin (Ss. vom 23.03.2021 S. 23, GA 135) nicht. Der Verantwortliche muss zwar gegenüber der zuständigen Behörde die Einhaltung der Anforderungen der DS-GVO nachweisen können (Art. 5 Abs. 2, 24 Abs. 1 DS-GVO). Er hat aber (was die Art. 33, 34 DS-GVO belegen) weder gegenüber der Behörde noch gegenüber einem Betroffenen die Gewähr dafür zu übernehmen, dass er die Einzelheiten eines Hackerangriffs – also eine kriminelle Handlung – wird aufklären und die Ursächlichkeit eines möglicherweise nicht eingehaltenen Standards für den Erfolg der kriminellen Handlung wird belegen können.
(3) Im Streitfall ist eine Kausalität einer – unterstellten – Pflichtverletzung durch unterlassene Anwendung des „PCI-DSS“-Standards nicht erwiesen. Die Klägerin hat dazu, mittels welcher Attacke die Hacker die Daten abgriffen, nichts vorgetragen. Insoweit helfen ihr die Grundsätze der sekundären Darlegungslast nicht weiter. Sie hat schon nicht behauptet, dass die Beklagte Einzelheiten dazu, wie die Hacker konkret vorgegangen sind und wie sie sich einen Eintritt schaffen konnten, wusste oder wissen musste. Es liegt auch nicht auf der Hand, dass das datenverarbeitende Unternehmen stets den Grund und die Funktionsweise der inkriminierten Handlung exakt ermittelt oder ermitteln kann. Auffällig ist, dass letztlich auch der Hessische Beauftragte für Datenschutz (HDSB) in seinem Bericht Mutmaßungen anstellt, ohne ein konkretes „Leck“ zu bezeichnen. Schließlich hat die Klägerin auch hier nicht deutlich gemacht, dass sie in einer Beweisnot sich befindet und nicht für ihre Behauptung auf Nachforschungen – die auch die Beklagte zunächst einmal anstellen müsste – beispielsweise beim HDSB zurückgreifen könnte. b.
Die Klägerin hat gegen die Beklagte keinen Anspruch aus einer etwaigen Verletzung des zwischen den Parteien abgeschlossenen Vertrags über die Teilnahme an dem Bonusprogramm.
Dass sich hieraus über die DS-GVO hinausgehende Pflichten ergeben würden, die die Beklagte verletzt hätte, hat die Klägerin schon nicht behauptet. Den Vertrag hat sie im Verfahren auch nicht vorgelegt.
3.
Die Klägerin hat die Kosten der erfolglosen Berufung gemäß § 97 Abs. 1 ZPO zu tragen.
Soweit der Rechtsstreit in Bezug auf die Klageanträge Ziff. 1 und Ziff. 2 erledigt wurde, folgt die Kostentragungspflicht der Beklagten aus § 91a ZPO.
Das Gericht entscheidet, wenn die Parteien den Rechtsstreit in der Hauptsache für erledigt erklären, gemäß § 91a Abs. 1 S. 1 ZPO über die Kosten unter Berücksichtigung des bisherigen Sach- und Streitstandes nach billigem Ermessen.
Als Folge der gesetzlichen Regelung wird im Allgemeinen der ohne die Erledigung zu erwartende Verfahrensausgang bei der Kostenentscheidung den Ausschlag geben, d. h. in der Regel wird derjenige die Kosten zu tragen haben, dem sie auch nach den allgemeinen kostenrechtlichen Bestimmungen der ZPO aufzuerlegen gewesen wären (Zöller/Vollkommer, ZPO, 33. Aufl. 2020, § 91a ZPO, Rz. 24 m.w.N.; MüKo-ZPO/Schulz, 6. Aufl. 2020, § 91a ZPO Rn. 44). Bei der zu treffenden Ermessensentscheidung greifen allerdings auch Billigkeitserwägungen Platz. So kommt etwa auch der Rechtsgedanke des § 93 ZPO zur Anwendung (st. Rspr., vgl. BGH, Beschluss vom 09.02.2006 – IX ZB 160/04, NJW-RR 2006 [Rn. 12]). Trotz ursprünglicher Zulässigkeit und Begründetheit der Klage treffen den Kläger nach dem Rechtsgedanken des § 93 ZPO gleichwohl die Kosten, wenn der Beklagte keinen Anlass zur gerichtlichen Geltendmachung des Klageanspruchs gegeben und denselben sofort nach Zustellung der Klage bzw. sofort nach Fälligkeit erfüllt oder den Kläger sonst (z.B. bei einer Unterlassungsklage durch Abgabe einer Unterwerfungserklärung) klaglos gestellt hat (MüKo-ZPO/Schulz, 6. Aufl. 2020, § 91a ZPO Rn. 44). Begibt sich eine Partei hingegen durch Erfüllung des Anspruchs freiwillig in die Rolle des Unterlegenen und hat sie objektiv die Klage veranlasst, rechtfertigt dieser Umstand es i.d.R., dass sie auch die Kosten des Rechtsstreits zu tragen hat.
Die Anwendung der hier zu beachtenden Grundsätze führt zur Kostentragungslast der Klägerin. a.
Bezüglich des mit Klageantrag Ziff. 1 a aa geltend gemachten Auskunftsanspruchs geht der Senat zwar davon aus, dass der Klageantrag nicht unbestimmt war, sondern die Verwendung des Begriffs „personenbezogene Daten“ wegen der Legaldefinition in Art. 4 Nr. 1 DS-GVO grundsätzlich hinreichend konkret ist. Er kann dies aber ebenso offenlassen wie die Frage der Begründetheit der Klage. Denn im Streitfall ist bei der Ermessensentscheidung maßgeblich der Rechtsgedanke des § 93 ZPO heranzuziehen. Die Beklagte erfüllte nämlich unmittelbar nach Klageerhebung das klägerische Auskunftsbegehren (Schriftsatz vom 18.05.2020, Anlage B 8). Ob auf die Auskunft im Einzelnen ein Anspruch bestand, kann dahinstehen. Dies gilt auch, soweit die Beklagte nach der ersten Auskunftserteilung weitere Informationen – etwa auch bezüglich der gespeicherten IP-Adressen – begehrte und damit eine Lückenhaftigkeit der Auskunft monierte. Denn auch hierauf reagierte die Beklagte umgehend (Schriftsatz vom 12.10.2020, Anlage B 17). Die Beklagte hat die Klägerin damit klaglos gestellt. Sie hat jedoch keinen Anlass zur Klageerhebung gegeben.
Anlass zur Klageerhebung gibt nur, wer sich vor dem Prozess so verhalten hat, dass der Kläger annehmen musste, nur durch einen Rechtsstreit sein Ziel erreichen zu können (BGH, Beschluss vom 08.03.2005 – VIII ZB 3/04, NJW-RR 2005, 1005, 1006; Zöller/Herget, ZPO, 33. Aufl. 2020, § 93 Rn. 3; Flockenhaus, in: Musielak/Voit, 17. Aufl. 2020, § 93 Rn. 2). Diese Voraussetzung trifft auf die Beklagte nicht zu. Sie verweigerte zwar vorprozessual eine Auskunft. Dies tat sie aber nicht grundlos, sondern unter – wie gezeigt (oben 2.aa.(1)(b) zutreffendem – Hinweis auf die fehlende Vollmachtsvorlage des Bevollmächtigten der Klägerin.
Aus denselben Gründen hat die Klage auch hinsichtlich der Anträge Ziffer 1 a bb und 1 a cc die Kosten zu tragen. Insoweit hatte die Klage im Übrigen von vornherein keine Aussicht auf Erfolg.
Der Klägerin stand zwar als Betroffener einer Verletzung des Schutzes ihrer personenbezogenen Daten ein Anspruch auf Information aus Art. 34 DS-GVO zu. Der Mitteilungspflicht kam die Beklagte allerdings mit der E-Mail vom 22.08.2019 (Anlage K 1) nach. Dass die Informationen nicht den Anforderungen des Art. 33 Abs. 3 lit. b, c und d DS-GVO entsprochen hätten, ist weder vorgetragen noch sonst ersichtlich. Die Informationen sind naturgemäß auf den Stand der Erkenntnisse zum Zeitpunkt des Erkennens des Datenschutzvorfalls beschränkt und bezwecken die schnelle Kenntnisgabe an den Betroffenen. Denn sie haben „unverzüglich“ zu erfolgen. Insoweit genügte es, dass die Beklagte mitteilte, die Daten der Klägerin seien möglicherweise betroffen. Bereits hier wies im Übrigen die Beklagte darauf hin, dass Anmeldedaten, Passwörter und die Prüfnummer (CVC) nicht ausgespäht worden seien. Hinsichtlich des Antrags fehlte es insoweit folglich auch an einem Rechtsschutzbedürfnis auf Seiten der Klägerin. b.
Schließlich hat die Klägerin bezüglich der Klageanträge Ziff. 1 a dd bis gg die Kosten zu tragen.
Allerdings war der Auskunftsantrag zulässig. Dabei kann dahinstehen, ob die Stellung des Klageantrags im Wege der Stufenklage zulässig war. Richtig ist zwar, dass ein Rechtsschutzbegehren im Sinne des § 254 ZPO unzulässig ist, wenn der geltend gemachte Auskunftsanspruch nicht der näheren Bestimmung eines noch nicht hinreichend bestimmten Leistungsbegehrens dient. Die Stufenklage ist dann aber in eine – zulässige – Klagehäufung im Sinne des § 260 ZPO umzudeuten (BGH, Urteil vom 29.03.2011 – VI ZR 117/10, BGHZ 189, 79 [Rn. 7 ff.]; Urteil vom 26.03.2013 – VI ZR 109/12, Rn. 34, juris).
Die begehrte Auskunft stand der Klägerin nicht zu. Ein Anspruch auf Auskunft hinsichtlich der Sicherheitsarchitektur der Datenspeicherung und der Einzelheiten des Hackerangriffs ergibt sich nicht aus Art. 15 DS-GVO. Die verlangten Informationen unterfallen nicht dem dort genannten Kanon der geschuldeten Auskünfte. Das Abgreifen von Daten durch Dritte stellt sich schließlich auch nicht als Fall der Datenverarbeitung durch die Beklagte als „Verantwortliche“ i.S.d. § 4 Nr. 7 DS-GVO dar. Auf die Frage, ob Art. 15 DS-GVO eine abschließende Regelung darstellt, die weitergehende vertragliche Ansprüche ausschließt, kommt es nicht an. Die Klägerin hat zu den vertraglichen Beziehungen der Parteien schon keine näheren Angaben gemacht, die eine Prüfung ermöglichen würden.
4.
Die Entscheidung zur vorläufigen Vollstreckbarkeit fußt auf §§ 708 Nr. 10, 713 ZPO.
5.
Die Zulassung der Revision erfolgt auf Grundlage von § 543 Abs. 2 S. 1 Nr. 1 und 2 ZPO. Der
Rechtssache kommt grundsätzliche Bedeutung zu. Darüber hinaus ist eine Entscheidung des Bundesgerichtshofs zur Rechtsfortbildung angezeigt.
Die Fortbildung des Rechts durch eine Revisionsentscheidung ist erforderlich, wenn der Einzelfall Veranlassung gibt, Leitsätze für die Auslegung von Gesetzesbestimmungen des materiellen oder des Verfahrensrechts aufzuzeigen oder Gesetzeslücken zu schließen (BGH, Beschluss vom 16.10.2018 – II ZR 70/16, Rn. 28, juris). So liegt es hier. Zu der höchstrichterlich nicht geklärten
Frage der Beweislastverteilung beim Anspruch aus Art. 82 DS-GVO – sei es in Bezug auf die
Pflichtverletzung oder die Kausalität – werden wie gezeigt (oben 2.a.aa.(2)(c)) unterschiedliche Auffassungen vertreten, die bis hin zu einer weitgehenden Beweislastumkehr zugunsten des Betroffenen gehen. Die Stimmen, die zumindest eine erhebliche Beweiserleichterung für angezeigt erachten, welche sie teils aus Art. 82 Abs. 3 DS-GVO oder einer Überformung der Beweislastverteilung durch das Unionsrecht ableiten, sind nicht lediglich vereinzelt geblieben. Die Frage kann sich in einer unbestimmten Vielzahl weiterer Fälle stellen. Eine grundsätzliche Bedeutung folgt ohnehin daraus, dass – wie hier – eine entscheidungserhebliche und der einheitlichen Auslegung bedürfende Frage des Unionsrechts in einem künftigen Revisionsverfahren ein Vorabentscheidungsersuchen an den Gerichtshof (Art. 267 III AEUV) notwendig machen könnte (vgl. BVerfG, Beschluss vom 08.10.2015 – 1 BvR 137/13, NVwZ 2016, 378 [Rn. 13]).
6.
Eine Vorlage an den Gerichtshof gem. Art. 267 Abs. 3 AEUV ist nicht geboten. Der Senat entscheidet demnach nicht letztinstanzlich. Er lässt die Revision zu. Soweit europarechtliche Fragen aufgeworfen sind, erscheint es zweckmäßig, zunächst dem für die letztinstanzliche Auslegung des deutschen Rechts zuständigen Bundesgerichtshofs Gelegenheit zu geben, sich mit diesen Rechtsfragen zu befassen und abschließend darüber zu befinden, ob eine Vorlagebedürftigkeit besteht.