Datenleck bei Mastercard: Haben Betroffene Anspruch auf Schadensersatz?

Ende August 2019 tauchten Listen mit Namen, Kontonummern, Email-Adressen und in einigen Fällen auch Anschriften und Telefonnummern in einem Online-Forum auf.

Schuld daran war eine Datenpanne bei Mastercard: Die persönlichen Daten von über 90.000 Kunden des Bonusprogramms „Priceless Specials“ kursierten im Internet. Allerdings wies das Unternehmen jegliche Vorwürfe zurück und schob die Verantwortung auf die Drittpartner, insbesondere Banken und riet den betroffenen Kunden lediglich, verdächtige Zahlungen zu melden.

Doch mehrere Betroffene gingen einen Schritt weiter und verklagten Mastercard wegen des Datenschutzlecks auf Schadensersatz. Nun landet der erste Fall vor dem Bundesgerichtshof.  

Veröffentlichung der Daten ein reiner Bagatellschaden?

Die Beklagte schloss mit der Klägerin, die eine Mastercard nutzt, einen Vertrag über ein Bonusprogramm ab, bei dem Kunden durch den Einsatz der Kreditkarte Punkte sammeln und gegen Prämien einlösen konnten. Infolge eines Hackerangriffs wurden personenbezogene Daten der Klägerin von Dritten abgegriffen und im Internet veröffentlicht. Die Klägerin erhob Klage und begehrte von der Beklagten die Zahlung von Schmerzensgeld. Daneben machte sie zunächst im Wege einer Stufenklage einen Auskunftsanspruch bezüglich der bei der Beklagten verarbeiteten personenbezogenen Daten geltend – die Beauskunftung lehnte die Beklagte jedoch wegen Nichtvorlage einer Vollmacht des anwaltlichen Vertreters der Klägerin ab.

Aber bitte mit Original-Vollmacht!

Gefundenes Fressen für das beklagte Unternehmen! Denn Mastercard legt nur äußerst ungern Verträge zu den Drittpartnern offen – daher haben die Verbraucher im Regelfall keinen Zugriff auf diese Interna. Grund für die Ablehnung des Auskunftsanspruchs war die mangelnde Vorlage einer Original-Vollmacht.

Die Datenschutz-Grundverordnung (DSGVO) knüpft die Auskunftspflicht des Verantwortlichen an einen Auskunftsantrag, der von der betroffenen Person gestellt wird. Jedoch kann der Betroffene auch einen Dritten mit der Geltendmachung des Auskunftsverlangens aus Art. 15 DSGVO bevollmächtigen. In der gerichtlichen Auseinandersetzung ging es also um die Frage, ob es für die Beanspruchung einer Auskunft nach Art. 15 DSGVO der Vorlage einer Original-Vollmacht bedarf.

Das Oberlandesgericht Stuttgart (OLG Stuttgart, Urteil v. 31.03.2021, Az. 9 U 34/21) erteilte ein klar und eindeutiges: Ja! Hierfür müsse eine Original-Vollmacht vorgelegt werden, denn eine elektronische Übermittlung genüge in solchen Fällen gerade nicht. Es könne folglich dahinstehen, ob und welchen Anforderungen der von dem Klägervertreter verwendete Dienst genüge. Klar ist, dass im Rahmen des § 174 des Bürgerlichen Gesetzbuchs (BGB) nur die Vorlage einer Urkunde genüge – worunter nach dem zivilrechtlichen Begriff der Urkunde keine elektronischen Erklärungen, sondern nur solche verkörperten Erklärungen fallen, die ohne die Verwendung technischer Hilfsmittel lesbar sind. Somit könne die elektronische Form eine Urkunde von Gesetzes wegen nicht ersetzen.

Durch die Entscheidung bestätigte das Oberlandesgericht Stuttgart nun also, dass die Beklagte den Auskunftsanspruch mangels Vorlage einer Originalvollmacht zurückweisen durfte. Damit aber nicht genug! Denn im Kern ging es noch um zweite weitere Fragen – beziehungsweise kann man eher von Problemen sprechen.

Bloßstellung = Bagatelle?

In der Klageabweisung heißt es dann nämlich weiter, wer einen Schadensersatz von Mastercard erstreiten wolle, der über die „Bloßstellung“ seiner Daten im Internet hinausgehe, müsse das gut begründen. Diese Aussage offenbart mal wieder, dass die deutschen Gerichte noch ihre Probleme mit der DSGVO haben – insbesondere mit der Frage nach dem Schadensersatz. Grundlage für einen solchen ist Artikel 82 der DSGVO. Neben dem Ersatz materieller Schäden, sieht das europäische Datenschutzrecht in eben jenem Artikel ausdrücklich auch den Ersatz immaterieller Schäden bei Verstößen gegen den Datenschutz vor.

Zwar gibt es in Deutschland bereits einige Urteile, in denen Gerichte den Anspruch auf Schmerzensgeld verneinen, da es sich lediglich um Bagatellschäden handele und es für diese keinen Schadensersatz gebe. Allerdings wurde dieser Auffassung erst kürzlich durch das Bundesverfassungsgericht ein Dämpfer erteilt und klargestellt, dass die DSGVO eben keine Bagatellgrenze vorsehe.

Auch in den Verfahren gegen Mastercard wurden etliche Ansprüche auf Schadensersatz abgelehnt, weil es sich nach Auffassung der Richter bei einer einfachen Bloßstellung der eigenen Daten um eine reine Bagatelle handele. Es könne nicht davon ausgegangen werden, dass jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht führe, hielt das Gericht mit der Begründung fest, „dass der Kläger seine Kreditkarte häufig für Kleinbeträge bei Tankstellen nutzt, bei FastFood-Restaurants isst und bei Discountern einkauft, ist derart alltäglich und unverfänglich, dass es sich insgesamt um einen Bagatellschaden handelt“. So ginge es bei diesen Informationen eben nicht um kompromittierende Inhalte.

Das Problem mit der Beweislast

Doch das blieb nicht das einzige Problem. Vielmehr stehen die Kläger vor einer weiteren Hürde und zwar der Frage danach, wer eigentlich bei einem DSGVO-Schadensersatz was nachweisen muss. Die Richter am OLG Stuttgart vertreten die Auffassung, dass grundsätzlich die allgemeinen Beweislast-Regelungen greifen müssten. Danach bleibe es beim allgemeinen Grundsatz, dass der Anspruchsteller die Anspruchsvoraussetzungen vorzutragen und nachzuweisen habe. Erst wenn ein Verstoß festgestellt ist, helfe dem Geschädigten – allerdings auch nur hinsichtlich des Verschuldens – die Regelung des Art. 82 Abs. 3 DSGVO, wonach sich der Verantwortliche exkulpieren muss, weil andernfalls von einem schuldhaften Verstoß auszugehen sei.

Zudem sei es nicht überzeugend, aus dem Umstand, dass typischerweise der Betroffene keinen Einblick in die Verarbeitungsabläufe von Verantwortlichen und Auftragsverarbeitern habe, eine Beweislastumkehr oder Beweiserleichterung herzuleiten, so die Richter. Der Umstand mangelnden Einblicks des Anspruchstellers in interne Vorgänge beim Anspruchsgegner sei eine generelle Erscheinung und nicht kennzeichnend gerade für das Verhältnis von Betroffenem und Verpflichtetem im Sinne der Datenschutz-Grundverordnung. Demnach müssen die allgemeinen Beweisregeln der Zivilprozessordnung zur Anwendung kommen.

Ein Ende in Sicht?

Für letzte Klarheit soll jedoch der Bundesgerichtshof sorgen. Nun muss sich also das höchste deutsche Zivilgericht erstmals mit der Materie beschäftigen. Denn die betroffene Mastercard-Kundin hat Revision gegen die Entscheidung des Oberlandesgericht Stuttgart eingelegt. Zwar verwehrte der Stuttgarter Senat der Klägerin eine Entschädigung. Aber das Oberlandesgericht hielt die weiterhin offenen Fragen für bereits anhängige DSGVO Schadensersatzklagen höchstrichterlich klärungsbedürftig, insbesondere die Frage nach der Beweislast und ob in solchen Fällen nicht doch eine Beweislastumkehr greift.

Sollte der BGH entscheiden, dass in so einem Fall das Unternehmen beweisen muss, dass es eben nicht schuldhaft gehandelt hat, würde das die Durchsetzung von Ansprüchen durch Verbraucher erheblich erleichtern. Für die noch laufenden anderen Verfahren wird die Entscheidung des BGH so oder so eine Signalwirkung haben.