{"id":57994,"date":"2021-05-10T07:32:32","date_gmt":"2021-05-10T05:32:32","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=57994"},"modified":"2021-05-10T07:35:24","modified_gmt":"2021-05-10T05:35:24","slug":"schadensersatz-dsgvo-datenleck-mastercard","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/schadensersatz-dsgvo-datenleck-mastercard\/","title":{"rendered":"Datenleck bei Mastercard: Haben Betroffene Anspruch auf Schadensersatz?"},"content":{"rendered":"
\"Datenleck
prima91 – stock.adobe.com<\/figcaption><\/figure>\n

Ende August 2019 tauchten Listen mit Namen, Kontonummern, Email-Adressen und in einigen F\u00e4llen auch Anschriften und Telefonnummern in einem Online-Forum auf. <\/em><\/p>\n

Schuld daran war eine Datenpanne bei Mastercard: Die pers\u00f6nlichen Daten von \u00fcber 90.000 Kunden des Bonusprogramms \u201ePriceless Specials\u201c kursierten im Internet. Allerdings wies das Unternehmen jegliche Vorw\u00fcrfe zur\u00fcck und schob die Verantwortung auf die Drittpartner, insbesondere Banken und riet den betroffenen Kunden lediglich, verd\u00e4chtige Zahlungen zu melden. <\/em><\/p>\n

Doch mehrere Betroffene gingen einen Schritt weiter und verklagten Mastercard wegen des Datenschutzlecks<\/a> auf Schadensersatz<\/a>. Nun landet der erste Fall vor dem Bundesgerichtshof. <\/em>\u00a0<\/em><\/p>\n

Ver\u00f6ffentlichung der Daten ein reiner Bagatellschaden?<\/h2>\n

Die Beklagte schloss mit der Kl\u00e4gerin, die eine Mastercard nutzt, einen Vertrag \u00fcber ein Bonusprogramm ab, bei dem Kunden durch den Einsatz der Kreditkarte Punkte sammeln und gegen Pr\u00e4mien einl\u00f6sen konnten. Infolge eines Hackerangriffs wurden personenbezogene Daten der Kl\u00e4gerin von Dritten abgegriffen und im Internet ver\u00f6ffentlicht. Die Kl\u00e4gerin erhob Klage und begehrte von der Beklagten die Zahlung von Schmerzensgeld. Daneben machte sie zun\u00e4chst im Wege einer Stufenklage einen Auskunftsanspruch bez\u00fcglich der bei der Beklagten verarbeiteten personenbezogenen Daten geltend \u2013 die Beauskunftung lehnte die Beklagte jedoch wegen Nichtvorlage einer Vollmacht des anwaltlichen Vertreters der Kl\u00e4gerin ab.<\/p>\n

Aber bitte mit Original-Vollmacht!<\/h2>\n

Gefundenes Fressen f\u00fcr das beklagte Unternehmen! Denn Mastercard legt nur \u00e4u\u00dferst ungern Vertr\u00e4ge zu den Drittpartnern offen \u2013 daher haben die Verbraucher im Regelfall keinen Zugriff auf diese Interna. Grund f\u00fcr die Ablehnung des Auskunftsanspruchs war die mangelnde Vorlage einer Original-Vollmacht.<\/p>\n

Die Datenschutz-Grundverordnung (DSGVO)<\/a> kn\u00fcpft die Auskunftspflicht des Verantwortlichen an einen Auskunftsantrag, der von der betroffenen Person gestellt wird. Jedoch kann der Betroffene auch einen Dritten mit der Geltendmachung des Auskunftsverlangens aus Art. 15 DSGVO<\/a> bevollm\u00e4chtigen. In der gerichtlichen Auseinandersetzung ging es also um die Frage, ob es f\u00fcr die Beanspruchung einer Auskunft nach Art. 15 DSGVO<\/a> der Vorlage einer Original-Vollmacht bedarf.<\/p>\n

Das Oberlandesgericht Stuttgart (OLG Stuttgart, Urteil v. 31.03.2021, Az. 9 U 34\/21<\/a>) erteilte ein klar und eindeutiges: Ja! Hierf\u00fcr m\u00fcsse eine Original-Vollmacht vorgelegt werden, denn eine elektronische \u00dcbermittlung gen\u00fcge in solchen F\u00e4llen gerade nicht. Es k\u00f6nne folglich dahinstehen, ob und welchen Anforderungen der von dem Kl\u00e4gervertreter verwendete Dienst gen\u00fcge. Klar ist, dass im Rahmen des \u00a7 174<\/a> des B\u00fcrgerlichen Gesetzbuchs (BGB) nur die Vorlage einer Urkunde gen\u00fcge \u2013 worunter nach dem zivilrechtlichen Begriff der Urkunde keine elektronischen Erkl\u00e4rungen, sondern nur solche verk\u00f6rperten Erkl\u00e4rungen fallen, die ohne die Verwendung technischer Hilfsmittel lesbar sind. Somit k\u00f6nne die elektronische Form eine Urkunde von Gesetzes wegen nicht ersetzen.<\/p>\n

Durch die Entscheidung best\u00e4tigte das Oberlandesgericht Stuttgart nun also, dass die Beklagte den Auskunftsanspruch mangels Vorlage einer Originalvollmacht zur\u00fcckweisen durfte. Damit aber nicht genug! Denn im Kern ging es noch um zweite weitere Fragen \u2013 beziehungsweise kann man eher von Problemen sprechen.<\/p>\n

Blo\u00dfstellung = Bagatelle?<\/h2>\n

In der Klageabweisung hei\u00dft es dann n\u00e4mlich weiter, wer einen Schadensersatz von Mastercard erstreiten wolle, der \u00fcber die \u201eBlo\u00dfstellung\u201c seiner Daten im Internet hinausgehe, m\u00fcsse das gut begr\u00fcnden. Diese Aussage offenbart mal wieder, dass die deutschen Gerichte noch ihre Probleme mit der DSGVO haben \u2013 insbesondere mit der Frage nach dem Schadensersatz. Grundlage f\u00fcr einen solchen ist Artikel 82 der DSGVO<\/a>. Neben dem Ersatz materieller Sch\u00e4den, sieht das europ\u00e4ische Datenschutzrecht<\/a> in eben jenem Artikel ausdr\u00fccklich auch den Ersatz immaterieller Sch\u00e4den bei Verst\u00f6\u00dfen gegen den Datenschutz vor.<\/p>\n

Zwar gibt es in Deutschland bereits einige Urteile, in denen Gerichte den Anspruch auf Schmerzensgeld verneinen, da es sich lediglich um Bagatellsch\u00e4den handele und es f\u00fcr diese keinen Schadensersatz gebe. Allerdings wurde dieser Auffassung erst k\u00fcrzlich durch das Bundesverfassungsgericht ein D\u00e4mpfer erteilt und klargestellt, dass die DSGVO eben keine Bagatellgrenze vorsehe.<\/p>\n

Auch in den Verfahren gegen Mastercard wurden etliche Anspr\u00fcche auf Schadensersatz abgelehnt, weil es sich nach Auffassung der Richter bei einer einfachen Blo\u00dfstellung der eigenen Daten um eine reine Bagatelle handele. Es k\u00f6nne nicht davon ausgegangen werden, dass jeder Versto\u00df gegen die DSGVO zu einer Ausgleichspflicht f\u00fchre, hielt das Gericht mit der Begr\u00fcndung fest, \u201edass der Kl\u00e4ger seine Kreditkarte h\u00e4ufig f\u00fcr Kleinbetr\u00e4ge bei Tankstellen nutzt, bei FastFood-Restaurants isst und bei Discountern einkauft, ist derart allt\u00e4glich und unverf\u00e4nglich, dass es sich insgesamt um einen Bagatellschaden handelt\u201c. So ginge es bei diesen Informationen eben nicht um kompromittierende Inhalte.<\/p>\n

Das Problem mit der Beweislast<\/h2>\n

Doch das blieb nicht das einzige Problem. Vielmehr stehen die Kl\u00e4ger vor einer weiteren H\u00fcrde und zwar der Frage danach, wer eigentlich bei einem DSGVO-Schadensersatz was nachweisen muss. Die Richter am OLG Stuttgart vertreten die Auffassung, dass grunds\u00e4tzlich die allgemeinen Beweislast-Regelungen greifen m\u00fcssten. Danach bleibe es beim allgemeinen Grundsatz, dass der Anspruchsteller die Anspruchsvoraussetzungen vorzutragen und nachzuweisen habe. Erst wenn ein Versto\u00df festgestellt ist, helfe dem Gesch\u00e4digten \u2013 allerdings auch nur hinsichtlich des Verschuldens \u2013 die Regelung des Art. 82 Abs. 3 DSGVO<\/a>, wonach sich der Verantwortliche exkulpieren muss, weil andernfalls von einem schuldhaften Versto\u00df auszugehen sei.<\/p>\n

Zudem sei es nicht \u00fcberzeugend, aus dem Umstand, dass typischerweise der Betroffene keinen Einblick in die Verarbeitungsabl\u00e4ufe von Verantwortlichen und Auftragsverarbeitern habe, eine Beweislastumkehr oder Beweiserleichterung herzuleiten, so die Richter. Der Umstand mangelnden Einblicks des Anspruchstellers in interne Vorg\u00e4nge beim Anspruchsgegner sei eine generelle Erscheinung und nicht kennzeichnend gerade f\u00fcr das Verh\u00e4ltnis von Betroffenem und Verpflichtetem im Sinne der Datenschutz-Grundverordnung. Demnach m\u00fcssen die allgemeinen Beweisregeln der Zivilprozessordnung zur Anwendung kommen.<\/p>\n

Ein Ende in Sicht?<\/h2>\n

F\u00fcr letzte Klarheit soll jedoch der Bundesgerichtshof sorgen. Nun muss sich also das h\u00f6chste deutsche Zivilgericht erstmals mit der Materie besch\u00e4ftigen. Denn die betroffene Mastercard-Kundin hat Revision gegen die Entscheidung des Oberlandesgericht Stuttgart eingelegt. Zwar verwehrte der Stuttgarter Senat der Kl\u00e4gerin eine Entsch\u00e4digung. Aber das Oberlandesgericht hielt die weiterhin offenen Fragen f\u00fcr bereits anh\u00e4ngige DSGVO Schadensersatzklagen h\u00f6chstrichterlich kl\u00e4rungsbed\u00fcrftig, insbesondere die Frage nach der Beweislast und ob in solchen F\u00e4llen nicht doch eine Beweislastumkehr greift.<\/p>\n

Sollte der BGH entscheiden, dass in so einem Fall das Unternehmen beweisen muss, dass es eben nicht schuldhaft gehandelt hat, w\u00fcrde das die Durchsetzung von Anspr\u00fcchen durch Verbraucher erheblich erleichtern. F\u00fcr die noch laufenden anderen Verfahren wird die Entscheidung des BGH so oder so eine Signalwirkung haben.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ende August 2019 tauchten Listen mit Namen, Kontonummern, Email-Adressen und in einigen F\u00e4llen auch Anschriften und Telefonnummern in einem Online-Forum auf. Schuld daran war eine Datenpanne bei Mastercard: Die pers\u00f6nlichen Daten von \u00fcber 90.000 Kunden des Bonusprogramms \u201ePriceless Specials\u201c kursierten im Internet. Allerdings wies das Unternehmen jegliche Vorw\u00fcrfe zur\u00fcck und schob die Verantwortung auf die […]<\/p>\n","protected":false},"author":85,"featured_media":57995,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[8],"tags":[389,17191,19023,19024],"class_list":["post-57994","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzrecht","tag-schadensersatz","tag-dsgvo","tag-datenleck","tag-mastercard","topic_category-datenschutzrecht"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/57994","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/85"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=57994"}],"version-history":[{"count":0,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/57994\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media\/57995"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=57994"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=57994"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=57994"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}