Zum Ersatzanspruch für immaterielle Schäden durch Datenlecks

Die Preisgabe persönlicher Daten durch ein Datenleck berechtigt ohne den konkreten Nachweis eines immateriellen Schadens nicht zum Schadensersatz aus der DSGVO.

Der Entscheidung des LG München I liegt folgender Sachverhalt zu Grunde:

Der Kläger – ein Kunde des beklagten Finanzdienstleisters für Brokerage-Leistungen – macht Ansprüche auf Schadensersatz, Unterlassung und Auskunft aus behaupteten Verstößen gegen die DSGVO nach einem Datenleck bei der Beklagten geltend. Im Rahmen der Registrierung als Neukunde werden die persönlichen Daten des Klägers – unter anderem dessen Namen, Anschrift, Geburtsdatum, E-Mail-Adresse, Telefonnummer, Steuer-ID, Bankverbindung, Ausweisnummer, Ausweiskopie, Portraitfoto und weitere Daten erfasst. Die Beklagte hatte bei einem ihrer früheren Dienstleister Zugangsinformationen zu ihrem vollständigen IT-System hinterlegt (ihm also Adminrechte zugewiesen). Nach Beendigung der Vertragsbeziehung zwischen der Beklagten und dem Dienstleister Ende 2015, erfolgt weder eine Änderung des Admin-Passwortes und der Zugangsdaten noch eine Überprüfung ihrer Löschung durch die Beklagte. In der Folgezeit kommt es beim ehemaligen Dienstleister der Beklagten zu einem Hackerangriff, in dessen Zuge 389.000 Datensätze von 33.200 Betroffenen entwendet und anschließend im Darknet angeboten werden. Nachdem der Kläger im Oktober 2020 von der Beklagten über den Vorfall informiert wird, hat er zunächst keinen weiteren Nachfragebedarf und setzte sein Kundenverhältnis ohne weitere Bedingungen fort. Erst nach Mandatsübernahme der Klägervertreter im Dezember 2022 schlägt die Kanzlei vor, weitere Auskunft zu verlangen. Der Kläger ist der Ansicht, ihm sei durch das Datenleck ein immaterieller Schaden entstanden. Er mache sich seither Sorgen über den Verbleib seiner Daten und befürchte Identitätsdiebstahl und weitere möglichen Nachteile. Zudem sei er seither vermehrt Ziel von Spam-Nachrichten und -Anrufen geworden. Er fordert von der Beklagten unter anderem Schadensersatz.

Das Gericht weist die Klage als unbegründet ab. Es fehle unter anderem am Eintritt eines immateriellen Schadens, der sich kausal auf den streitgegenständlichen Datenschutzvorfall zurückführen ließe. Diesen habe der Kläger nicht hinreichend dargelegt und bewiesen. Auch das erhöhte Spamaufkommen sei durch das allgemeine Lebensrisiko erklärbar. Der Kläger habe nicht hinreichend darlegen und beweisen können, dass es sich dabei um eine Konsequenz des Datenlecks bei der Beklagten handele.

Hinweis: An diesem Verfahren war der Verbraucherzentrale Bundesverband (vzbv) nicht beteiligt. Gerne informiert Sie der vzbv alle vier bis sechs Wochen mit einem kostenlosen Newsletter über neue Urteile zum Verbraucherrecht.