Landgericht Verden
Urt. v. 06.02.2024, Az.: 1 O 144/23

Anspruch gegen einen Musik-Streamingdienst wegen Datenschutzverstößen

Bibliographie

Gericht
LG Verden
Datum
06.02.2024
Aktenzeichen
1 O 144/23
Entscheidungsform
Urteil
Referenz
WKRS 2024, 32648
Entscheidungsname
[keine Angabe]
ECLI
[keine Angabe]

In dem Rechtsstreit
XXX
- Klägerin -
Prozessbevollmächtigte:
XXX
XXX
gegen
XXX
XXX
- Beklagte -
Prozessbevollmächtigte:
XXX
XXX
hat das Landgericht Verden - 1. Zivilkammer - durch die Richterin am Landgericht XXX als Einzelrichterin auf die mündliche Verhandlung vom 17.01.2024 für Recht erkannt:

Tenor:

  1. 1.

    Die Klage wird abgewiesen.

  2. 2.

    Die Klägerin trägt die Kosten des Rechtsstreits.

  3. 3.

    Das Urteil ist vorläufig vollstreckbar gegen Sicherheitsleistung i.H.v. 110 % des jeweils zu vollstreckenden Betrages.

  4. 4.

    Der Streitwert wird festgesetzt auf 11.500 EUR.

Tatbestand

Die Parteien streiten über Ansprüche aus der DSGVO.

Die Beklagte - XXX - betreibt einen internationalen Musikstreaming-Dienst gleichen Namens, der in über 180 Ländern verfügbar und unter der Internetadresse XXX erreichbar ist. Das wesentliche Angebot besteht aus einem Streamingangebot zusammengesetzt aus Musik, Hörbüchern, Hörspielen und Podcasts.

Die Parteien streiten über einen sog. Cyberangriff / Hackerangriff auf Kundendaten der Beklagten, wobei dessen zeitliche Abfolge, die Reaktion der Beklagten sowie das Ausmaß des Angriffs streitig sind.

Grundsätzlich von dem Cyberangriff betroffen waren folgende Informationen:

Name, Vorname, Nutzername, Alter, Geschlecht, Sprache, Land, E-Mail-Adresse, User-ID, Daten über die Nutzung des XXX (Akquise-Herkunft, kostenloser oder kostenpflichtiger Charakter des Kontos) und Präferenzen (Anzahl der Lieblingssongs, Kommunikationspräferenzen).

Auf das außergerichtliche Anschreiben der Klägerin vom 28.03.2023, Anlage DB2, reagierte die Beklagte nach Fristverlängerungsmitteilung (Art. 12 Abs. 3 DSGVO) vom 21.04.2023, mit E-Mail vom 09.05.2023 und erteilte eine Negativauskunft, Anlage B14.

Die Klägerin behauptet, dass sie Nutzerin der Plattform der Beklagten sei und mit dieser ein Vertragsverhältnis geschlossen habe. Zu dem Hackerangriff sei es bereits im Jahr 2019 gekommen. Es sei ein Datensatz mit personenbezogenen Daten von rund 229 Millionen Betroffenen gewesen. Hierbei handele es sich um sensible Daten wie E-Mail-Adressen, Geburtsdaten, Geschlechter, Geodaten, IP-Adressen, Namen, gesprochene Sprachen und Benutzernamen.

Erst Anfang 2023 und damit mehrere Jahre nach Auftreten des Datenlecks habe die Beklagte die Nutzer über dieses Datenleck informiert, allerdings nicht individuell. Zu einer Verbesserung der Sicherheitsvorkehrungen - auch in Bezug auf die Zusammenarbeit mit Partnerunternehmen - habe sich die Beklagte nicht geäußert. Es sei nur behauptet worden, die eigenen Sicherheitssysteme seien wirkungsvoll und die Datenbanken sicher. Das Auftreten eines Datenlecks indiziere, dass unbefugte Dritte die Daten der Klägerin haben erlangen können und dass in technischer Hinsicht nicht ausreichender Schutz der Daten gewährleistet worden sei.

Der Verlust der Datenkontrolle sowie deren Weitergabe an unbefugte Dritte habe weitreichende Folgen. Es sei an Identitätsdiebstahl, die Übernahme von Accounts aufgrund der "Zwei-Faktor-Authentifizierung" sowie gezielter Phishing-Nachrichten, zusammengefasst als sog. "SimSwap"-Angriffe sowie an Werbeanrufe und Werbemails zu denken. Des Weiteren würden sich in der Vergangenheit im Allgemeinen Anrufe und Nachrichten über Kurznachrichtendienste mit betrügerischen Absichten häufen, die sich auch nur mit unbefugt abgegriffenen Mobilfunknummern erklären lassen würden. Die Klägerin habe einen solchen Kontrollverlust ihrer Daten erlitten. Sie habe Unwohlsein und Sorge über möglichen Missbrauch ihrer Daten.

Die Klägerin beantragt,

  1. 1.

    die Beklagte wird verurteilt, an die Klägerin als Ausgleich für Datenschutzverstöße und die Ermöglichung der unbefugten Erlangung persönlicher Daten einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 3.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz der EZB zu zahlen.

  2. 2.

    die Beklagte wird verurteilt, an die Klägerin für die Nichterteilung einer den gesetzlichen Anforderungen entsprechenden außergerichtlichen Datenauskunft i.S.d. Art. 15 DSGVO einen weiteren immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 2.000,00 EUR aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz der EZB zu zahlen.

  3. 3.

    es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerin alle materiellen künftigen Schäden zu ersetzen, die der Klägerin durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten entstanden sind und/oder noch entstehen werden.

  4. 4.

    die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft, oder einer an ihrem Vertreter zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen, personenbezogene Daten der Klägerin Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen.

  5. 5.

    die Beklagte wird verurteilt, der Klägerin Auskunft über personenbezogene Daten, welche die Beklagte verarbeitet, zu erteilen, insbesondere welche Daten durch welche Empfänger zu welchem Zeitpunkt auf welche Art und Weise und aufgrund welcher Sicherheitslücke, soweit vorhanden, bei der Beklagten oder Partnerunternehmen, an die die Beklagte die Daten weitergeleitet hat, unbefugt erlangt werden konnten.

  6. 6.

    die Beklagte wird verurteilt, die Klägerin von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 1.054,10 EUR freizustellen.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte behauptet, dass die Klägerin bereits nicht glaubhaft dargelegt habe, vom streitgegenständlichen Cyberangriff betroffen zu sein. Den Nachweis ihrer Betroffenheit stütze sie einzig und allein auf eine Abfrage ihrer E-Mail-Adresse über die Eingabemaske auf der Webseite www.haveibeenpwned.com. Die Beklagte habe in ihrer Kundendatenbank indes kein Kundenprofil ausfindig machen können, welches der E-Mail-Adresse "XXX" oder dem Namen der Klagepartei zugeordnet sei, vgl. Anlage B 6.

Die Klägerin erfülle nicht die Anforderungen an die Darlegungs- und Beweislast, sondern tätige Behauptungen ins "Blaue hinein". Die eigenen IT-Systeme der Beklagten seien nicht vom Cyberangriff betroffen gewesen. Die von dem Cyberangriff betroffenen personenbezogenen Daten würden eine hohe Ähnlichkeit zu Daten aufweisen, die ein ehemaliger Dienstleister der Beklagten, das Unternehmen XXX (die Muttergesellschaft von XXX, dem operativen Anbieter des Dienstes) für Kundendatenverwaltungsdienste (sogenannter XXX) nutze. Mit diesem Dienstleister habe die Beklagte bis 2020 eine vertragliche Beziehung unterhalten. Die Vertragsbeziehung mit diesem Dienstleister sei zum 30.11.2020 beendet worden. Am 30.11.2020 habe der Dienstleister der Beklagten versichert, dass er sämtliche Daten am 01.12.2020 löschen werde. Der Dienstleister habe der Beklagten ferner am 22.02.2023 erneut bestätigt, dass sämtliche Daten der Beklagten sofort nach Vertragsbeendigung gelöscht worden seien. Der Dienstleister habe im Juni 2023 nunmehr eingeräumt, dass drei seiner Mitarbeiter die von dem Vorfall betroffenen Datensätze von einer Produktivumgebung ("production environment") in eine vom Dienstleister außerhalb der Vertragsbeziehung mit der Beklagten betriebene Nicht-Produktivumgebung ("non-production environment") überführt hatten. Dieser Vorgang sei vertraglich nicht gestattet gewesen und die Beklagte habe von diesem Vorgang keine Kenntnis gehabt.

Am 8. November 2022 gegen 15:33 Uhr habe die Beklagte Kenntnis darüber erlangt, dass unbekannte Hacker Daten von Nutzern der Beklagten seit dem 6. November 2022 im Dark Web - einem speziellen Forum, das nur über bestimmte Webbrowser zu erreichen ist und typischerweise für kriminelle Aktivitäten genutzt wird - zum Verkauf angeboten haben. Die Daten der Beklagten seien Teil eines großen erbeuteten Datensatzes. Tatsächlich habe die Beklagte den Cyberangriff unverzüglich - am 10.11.2022 gegen 18:00 Uhr, also nur etwa 50 Stunden nach Bekanntwerden des Vorfalls - der zuständigen französischen Datenschutzbehörde (Commission Nationale de l'Informatique et des Libertés ("CNIL") gemeldet, vgl. Anlage B 8. Die Beklagte habe die von dem Vorfall betroffenen Personen unverzüglich nach Bekanntwerden am 11.11.2022 auf der unternehmenseigenen Webseite informiert. Anfang 2023 sei zusätzlich eine individuelle Betroffenenbenachrichtigung per E-Mail erfolgt, vgl. Anlage B9. Sollte die Klagepartei also keine individuelle Benachrichtigung per E-Mail erhalten haben, liege dies daran, dass die Beklagte keine Informationen über die Klagepartei in ihrer Kundendatenbank gehabt habe. Der Nutzeraccount sei entweder bereits gelöscht worden oder ein Nutzeraccount habe nie existiert.

Die von der Beklagten bereits vor dem Cyberangriff implementierten technischen und organisatorischen Schutzmaßnahmen waren ausreichend, um die gesetzlich erforderliche Datensicherheit zu gewährleisten. Es fehle zudem an der Kausalität und eines Schadens.

Wegen dem weiteren Vorbringen der Parteien wird auf die wechselseitigen Schriftsätze nebst Anlagen Bezug genommen.

Entscheidungsgründe

Die Klage ist zulässig, jedoch unbegründet.

I.

1. Zulässigkeit

Das Landgericht Verden ist international, sachlich und örtlich zuständig gemäß Art. 79 Abs. 2 DSGVO sowie Art. 18 Abs. 1 i.V.m. Art. 17 Abs. 1 EuGVVO, §§ 23 Nr. 1, 71 Abs. 1 GVG und Art. 18 Abs. 1, 2. Alt. EuGVVO, da die klagende Partei als betroffene Person ihren Wohnsitz im Bezirk des Landgerichts Verden hat und der Streitwert insgesamt über 5.000 € liegt.

Die Klageanträge sind auch (noch) hinreichend bestimmt. Den Anforderungen des § 253 Abs. 2 Nr. 2 ZPO ist genügt, wenn der Klageantrag den erhobenen Anspruch durch Bezifferung oder gegenständliche Beschreibung konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis absteckt, Inhalt und Umfang der materiellen Rechtskraft der Entscheidung erkennen lässt, das Risiko des Unterliegens nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abgewälzt und der entsprechende Titel der Zwangsvollstreckung fähig ist (vgl. BGH vom 21. November 2017 - II ZR 180/15).

Die Anträge zu Ziffern 1, 2 und 3 sind dahingehend auszulegen, dass die klagende Partei aufgrund eines zusammenhängenden, sich über einen längeren Zeitraum erstreckenden, gleichwohl in sich abgeschlossenen Lebenssachverhalts einen zulässig der Höhe nach in das Ermessen des Gerichts gestellten Schadensersatzanspruch geltend macht bzw. dessen Ersatzpflicht für die Zukunft festzustellen begehrt, sodass nicht mehrere Streitgegenstände in einem unzulässigen Alternativverhältnis stehen.

Auch das Feststellungsinteresse für den Antrag zu 3. ist zu bejahen, da künftige Schäden grundsätzlich denkbar sind.

II.

Die Klage ist jedoch in vollem Umfang unbegründet.

1. Der klagenden Partei steht weder aus Art. 82 Abs. 1 DSGVO noch aus einer anderen rechtlichen Grundlage ein Anspruch auf Zahlung eines immateriellen Schadensersatzes zu.

a) Die Klägerin hat bereits schon nicht schlüssig dargelegt, dass ihre Daten betroffen waren. Voraussetzung für die Eröffnung des sachlichen Anwendungsbereichs des Art. 82 DSGVO ist das Vorliegen von personenbezogenen Daten. Die Beklagte hat substantiiert bestritten, dass die Klägerin mit der angegebenen E-Mail-Adresse XXX oder mit ihrem Namen über ein Kundenprofil bei der Beklagten verfügte. Dies hat die Beklagte mit dem Ausdruck aus der Kundenprofil Datenbank schlüssig dargelegt, vgl. Anlage B6.

Diesem Bestreiten ist die Klagepartei wiederum nicht substantiiert entgegengetreten. Da die Klagepartei auch zur persönlichen Anhörung in der mündlichen Verhandlung nicht erschienen ist, konnten diesbezügliche Unklarheiten nicht aufgeklärt werden, sodass die Unterzeichnende davon ausgeht, dass die Klägerin bereits kein Vertragsverhältnis zur Beklagten dargelegt hat. Ein Anspruch gem. Art. 82 DSGVO scheitert daher bereits an diesem Punkt.

b) Sofern man dennoch unterstellt, dass der sachliche Anwendungsbereich des Art. 82 DSGVO wegen Bestehen eines Vertragsverhältnisses eröffnet wäre, ist keine Pflichtverletzung der Beklagten anzunehmen, da weder ein Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit, Art. 5. Abs. 1 f DSGVO noch ein Verstoß gegen technische und organisatorische Schutzpflichten gem. Art. 32 DSGVO vorliegt.

Die Klagepartei behauptet einen Verstoß gegen die vorgenannten Schutzvorschriften allein damit, dass es einen unbefugten Datenabgriff gegeben habe. Es sind allerdings keine Anhaltspunkte dafür ersichtlich, dass die Beklagte mangelhafte Sicherheitsvorkehrungen bei ihrer Website vorgehalten habe. Es ist nämlich entsprechend dem Vorbringen der Beklagten zu unterstellen, dass der Cyberangriff bei einem IT Dienstleister der Beklagten stattgefunden hat. Hierbei ist es möglich, dass der Cyberangriff trotz ausreichender Sicherheitsvorkehrungen stattgefunden hat, sodass aus den bloßen Behauptungen der Klagepartei nicht zu schlussfolgern ist, dass die Beklagte Sicherheitsvorkehrungen verletzt hat.

Konkrete Anhaltspunkte für die Verletzung von Sicherheitsvorkehrungen bei dem Betrieb der streitgegenständlichen Website hat die Klägerin gerade nicht schlüssig dargelegt.

c) Auch selbst wenn man den Anwendungsbereich des Art. 82 DSGVO bei den hier behaupteten Verstößen eröffnet sähe, scheitert ein Schadensersatzanspruch zudem auch daran, dass auch weitere Pflichtenverstöße der Beklagten nicht vorliegen.

Die Beklagte hat nicht gegen Art. 15 DSGVO verstoßen. Die Beklagte hat die Auskunftspflicht gem. Art 15 DSGVO erfüllt, in dem sie mit ihrem Schreiben vom 09.05.2023 (Anlage B14) den Anspruch der Klagepartei auf Auskunft, sofern er bestehen sollte, beantwortet hat.

Darüber hinaus besteht dieser Anspruch allerdings schon bereits dem Grunde nach nicht. Denn Art. 82 DSGVO umfasst nur solche Verstöße, welche durch eine nicht der Verordnung der DSGVO entsprechende Verarbeitung von Daten entstanden sind. Danach ist Anknüpfungspunkt für eine Haftung eine der Verordnung nicht entsprechende "Verarbeitung" i.S.d. Art. 4 Nr. 2 DSGVO. Eine verspätete Erteilung einer Datenauskunft stellt jedoch in keinem Fall eine Verarbeitung personenbezogener Daten i.S.d. Art 4 Nr. 2 DSGVO dar. Die Verletzung von Benachrichtigungs- und Informationspflichten ist nicht umfasst (vgl. OLG München a.a.O.; LG Essen GRUR-RS 2022,348158; AG Strausberg BeckRS 2022, 27811; LG Heilbronn - Urt. vom 13. Januar 2023 - 8 O 131/22). Ein behaupteter Schadensersatzanspruch scheitert daher auch bereits schon an diesem Grund.

d) Auch bei einer unterstellten Eröffnung des vorgenannten Schutzbereiches ist ein Verstoß der Beklagten gegen Melde- und Benachrichtigungspflichten gem. Art. 33, 34 DSGVO zu verneinen.

Denn es handelt sich zum Einem weder um einen Verstoß in Hinblick auf die Verarbeitung von Daten, hierzu wird auf die vorstehenden entsprechenden Ausführungen unter c) verwiesen.

Zudem hat die Beklagte ihre Meldepflichten gegenüber der zuständigen CNIL bereits mit der ersten Meldung vom 10.11.2022, 18 Uhr, vorgelegt als Anlage B1, unmittelbar nach Erlangung der Kenntnis von dem Hacker Angriff am 08.11.2022,15:33 Uhr, in kurzen zeitlichen Zusammenhang erfüllt.

Die Klägerin hat nicht substantiiert dargelegt, dass die Beklagte schon erheblich früher, bereits im Jahr 2019, Kenntnis von dem Hackerangriff gehabt habe. Vielmehr sind die von der Beklagten substantiiert dargelegten Daten zu unterstellen.

Verstöße gegen Melde- und Benachrichtigungspflichten sind daher nicht ersichtlich.

e) Weiterhin hat die Klagepartei keinen kausalen Schaden dargelegt.

Der mit den Anträgen zu Ziffern 1. und 2. geltend gemachte Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO bzw. Art. 15 DSGVO scheitert zudem an einem ersatzfähigen Schaden. Soweit die klagende Partei den Rechtsstandpunkt vertritt, dass zulasten der Beklagten eine vollständige Darlegungs- und Beweislastumkehr eingetreten sei, teilt das Gericht diese Auffassung nicht.

Die klagende Partei muss darlegen und beweisen, dass bei ihr ein kausal auf einen Verstoß gegen die DSGVO zurückzuführender Schaden materieller oder immaterieller Art eingetreten ist und sie einen solchen nicht lediglich befürchtet (vgl. OLG Hamm, a.a.O.; OLG Frankfurt, Urteil vom 02. März 2022 - 13 U 206/20). Zwar ist der Begriff des Schadens weit auszulegen. Nach Auffassung des Gerichts reicht jedoch ein bloßer - hier nicht vorliegender - Verstoß gegen die Vorschriften der DSGVO nicht aus, sondern es bedarf der Darlegung eines konkreten, darauf zurückzuführenden (auch immateriellen) Schadens. Dies hat auch der Europäische Gerichtshof in seiner Entscheidung vom 24.02.2022 (C-175/20) ausdrücklich bestätigt. Der Datenschutzverstoß darf nicht mit dem Erfordernis eines tatsächlich eingetretenen Schadens gleichgesetzt werden (vgl. auch OLG Hamm, a.a.O. und OLG München a.a.O.).

Auch wenn die Klagepartei in der mündlichen Verhandlung nicht angehört wurde, steht zur Überzeugung der Kammer fest, dass sowohl der in einer Vielzahl von Fällen gleichlautende Textbaustein-Sachvortrag zu Beeinträchtigungen/Schäden der Klagepartei als auch die vorgenommenen Bekundungen der Klagepartei zu etwaigen Beeinträchtigungen bloße Schutzbehauptungen sind, um das begehrte Schmerzensgeld zu begründen.

Es kann zudem kein kausaler Zusammenhang zu den Spam-Nachrichten, die die Klagepartei erhalten haben will, hergestellt werden. Denn die Beklagte hat dargelegt, dass die Eintragung der E-Mail-Adresse der Beklagten auf der Website www.haveibeenpwned.com nicht nur dazu führt, dass eine datenschutzrelevante Eintragung hinsichtlich der Website der Beklagten anzunehmen ist. Ausweislich des als Blatt 121 d.A. vorgelegten Screenshots wird von der Website XXX angegeben, dass die Daten der Klägerin auch bei den Webseiten XXX, XXX und XXX abgegriffen worden sein sollen. Selbst wenn man es daher als wahr unterstellen sollte, dass die Klägerin ein erhebliches Spamaufkommen feststellen kann, so kann nicht nachgewiesen werden, dass dieser Verstoß auf dem Hackerangriff bei der Beklagten bzw. deren IT Dienstleister beruht. Denn die unzulässiger Weise erlangten Daten könnten auch von den drei anderen Webseiten herrühren, sodass es jedenfalls auch an dem Nachweis einer kausalen Verursachung mangelt.

2.

Damit scheitern auch sämtliche weiteren Klageanträge (Feststellungsanspruch zur Tragung zukünftiger Schäden, Unterlassungsanspruch gem. §§ 1004 analog, 823 Abs. 1, 2 BGB i.V.m. Art. 6 Abs. 1, 17 DSGVO sowie der Auskunftsanspruch Art. 15 DSGVO) mangels Verstoßes gegen die DSGVO. Andere Anspruchsgrundlagen hierfür, etwa §§ 280, 823 Abs. 2, 1004 BGB, kommen ebenfalls nicht in Betracht.

3.

Für einen Anspruch auf Erstattung der vorprozessualen Rechtsanwaltskosten (Antrag zu 6.) als Nebenforderung war danach ebenfalls kein Raum.

II.

Die prozessualen Nebenentscheidungen beruhen auf §§ 91 Abs. 1, 709 ZPO. Der Streitwert ist gemäß § 48 Abs. 1, 2 GKG, § 3 ZPO auf insgesamt 11.500 € festzusetzen, wobei

  • auf das Schadensersatzbegehren zu 1.) 3.000 €, auf das zu 2.) 2.000 €

  • auf das Feststellungsbegehren 1.000 €,

  • auf die Unterlassungsbegehren insgesamt 5.000 € (wirtschaftliche Einheit, vgl. insoweit OLG Celle, Beschluss vom 25. April 2023, 5 W 14/23 m.N.),

  • sowie auf das Auskunftsbegehren 500 €

entfallen.

Hinweis:

Verkündet am: 06. Februar 2024

Hinweis:

Hinweis: Das Dokument wurde redaktionell aufgearbeitet und unterliegt in dieser Form einem besonderen urheberrechtlichen Schutz. Eine Nutzung über die Vertragsbedingungen der Nutzungsvereinbarung hinaus - insbesondere eine gewerbliche Weiterverarbeitung außerhalb der Grenzen der Vertragsbedingungen - ist nicht gestattet.