Pressemitteilung vom 16. Oktober 2024 Nr. 32/24
Kein Schadensersatz für Nutzer einer Musik-Streaming-Plattform nach Datenleck durch Hackerangriff
Das Landgericht Nürnberg-Fürth hat die Schadensersatzklage eines Kunden gegen einen Musik-Streaming-Dienst nach einem Datenschutzvorfall abgewiesen. Dem von einem unberechtigten Abgriff seiner Daten betroffenen Nutzer stehen keine Ansprüche gegen den Streamingdienst wegen Verstoßes gegen die Datenschutz-Grundverordnung (DS-GVO) zu. Zwar kann ein Datenabgriff durch Dritte zu einem Schadensersatzanspruch des Betroffenen gegen den Plattformbetreiber führen. Im konkreten Fall konnte nach Überzeugung der Richter aber nicht festgestellt werden, dass der behauptete Schaden kausal auf einem Verstoß gegen datenschutzrechtliche Vorgaben beruht.
Die Beklagte betreibt in Europa einen Musik-Streaming-Dienst. Unbekannte Dritte hatten personenbezogene Daten der Nutzer der Beklagten in der Vergangenheit unberechtigt entwendet und boten die Datensätze zunächst zum Verkauf im Darknet und später für jedermann frei zugänglich zum Herunterladen an.
Der von dem Datenabgriff betroffene Kläger machte mit seiner Klage als Ausgleich für einen behaupteten Datenschutzverstoß die Zahlung eines Schmerzengeldes in Höhe von mindestens 1.000 EUR sowie weitere Ansprüche geltend. Er habe aufgrund des Vorfalls einen Kontrollverlust über seine personenbezogenen Daten erlitten und sei wegen der möglichen Missbrauchsgefahr in großer Sorge. Auch erhalte er seit dem Vorfall Spamnachrichten an seine E-Mail-Adresse. Zwischen den Parteien war streitig, ob die Beklagte hinreichende technische und organisatorische Maßnahmen zur Verhinderung von Datenabgriffen vorgehalten hatte.
Das Landgericht hat mit Urteil vom 15. Mai 2024 die Klage abgewiesen, weil der Kläger einen Kausalzusammenhang zwischen dem behaupteten Datenschutzverstoß und einem Schaden nicht nachweisen konnte. Das Gericht führte aus, dass die Beklagte lediglich für Schäden haftet, die durch eine rechtswidrige Datenverarbeitung verursacht wurden. Eine unbefugte Offenlegung von personenbezogenen Daten durch Dritte allein genügt nicht, um auf einen Datenschutzverstoß der Beklagten zu schließen. Vorliegend habe der Kläger nicht ausreichend vorgetragen, dass der spätere Datenabgriff gerade auf unzureichende Schutzmaßnahmen der Beklagten zurückzuführen ist. Auf eine Vermutungswirkung könne sich der Kläger in diesem Zusammenhang nicht berufen. Bezüglich der Spam-Mails konnten die Richter ebenfalls keinen kausalen Schaden feststellen. Es bestünde die Möglichkeit, dass der Kläger seine personenbezogenen Daten an anderer Stelle weitergegeben habe oder diese an anderer Stelle abgegriffen wurden. In seiner Entscheidung konnte das Gericht daher offenlassen, ob die Beklagte zurechenbar gegen die Datenschutz-Grundverordnung verstoßen hat oder nicht.
Gegen das klageabweisende Urteil des Landgerichts Nürnberg-Fürth vom 15. Mai 2024 hatte der Kläger Berufung zum Oberlandesgericht Nürnberg eingelegt. Auf den Hinweis des Oberlandesgerichts zur Erfolgslosigkeit der Berufung hat der Kläger sein Rechtsmittel zurückgenommen. Das Urteil des Landgerichts Nürnberg-Fürth ist damit rechtskräftig.
Am Landgericht Nürnberg-Fürth sind erstinstanzlich bislang 102 gleichgelagerte Verfahren eingegangen. Alle bereits durch Urteil entschiedenen Verfahren, mehr als die Hälfte (Stand heute), endeten mit einer Klageabweisung. Ein Teil der Verfahren befindet sich noch in der Berufungsinstanz.
(Urteil des Landgerichts Nürnberg-Fürth vom 15. Mai 2024, Az. 10 O 5225/23,
Hinweisbeschluss des Oberlandesgerichts Nürnberg vom 19. September 2024, Az. 14 U 1227/24)
Die maßgebliche Vorschrift der Datenschutz-Grundverordnung (DS-GVO) lautet:
Artikel 82 Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist
.…
Ines Gölzer
Vorsitzende Richterin am Landgericht
Pressesprecherin