Vor dem Landgericht (LG) Nürnberg-Fürth war die Schadensersatzklage eines Kunden gegen einen Musik-Streaming-Dienst nach einem Datenschutzvorfall erfolglos. Das Gericht verneinte Ansprüche des von einem unberechtigten Datenabgriff betroffenen Nutzers gegen den Streamingdienst wegen Verstoßes gegen die Datenschutz-Grundverordnung zu. Zwar könne ein Datenabgriff durch Dritte zu einem Schadensersatzanspruch des Betroffenen gegen den Plattformbetreiber führen. Im konkreten Fall konnte nach Überzeugung der Richter aber nicht festgestellt werden, dass der behauptete Schaden kausal auf einem Verstoß gegen datenschutzrechtliche Vorgaben beruht.
Die Beklagte betreibt in Europa einen Musik-Streaming-Dienst. Unbekannte Dritte hatten personenbezogene Daten der Nutzer der Beklagten in der Vergangenheit unberechtigt entwendet und boten die Datensätze zunächst zum Verkauf im Darknet und später für jedermann frei zugänglich zum Herunterladen an.
Der von dem Datenabgriff betroffene Kläger machte mit seiner Klage als Ausgleich für einen behaupteten Datenschutzverstoß die Zahlung eines Schmerzengeldes in Höhe von mindestens 1.000 Euro sowie weitere Ansprüche geltend. Er habe aufgrund des Vorfalls einen Kontrollverlust über seine personenbezogenen Daten erlitten und sei wegen der möglichen Missbrauchsgefahr in großer Sorge. Auch erhalte er seit dem Vorfall Spamnachrichten an seine E-Mail-Adresse. Zwischen den Parteien war streitig, ob die Beklagte hinreichende technische und organisatorische Maßnahmen zur Verhinderung von Datenabgriffen vorgehalten hatte.
Das LG hat die Klage abgewiesen. Der Kläger habe einen Kausalzusammenhang zwischen dem behaupteten Datenschutzverstoß und einem Schaden nicht nachweisen können. Die Beklagte hafte lediglich für Schäden, die durch eine rechtswidrige Datenverarbeitung verursacht wurden. Eine unbefugte Offenlegung personenbezogener Daten durch Dritte allein genüge nicht, um auf einen Datenschutzverstoß der Beklagten zu schließen.
Vorliegend habe der Kläger nicht ausreichend vorgetragen, dass der spätere Datenabgriff gerade auf unzureichende Schutzmaßnahmen der Beklagten zurückzuführen ist. Auf eine Vermutungswirkung könne er sich in diesem Zusammenhang nicht berufen. Bezüglich der Spam-Mails konnten die Richter ebenfalls keinen kausalen Schaden feststellen. Es bestünde die Möglichkeit, dass der Kläger seine personenbezogenen Daten an anderer Stelle weitergegeben habe oder diese an anderer Stelle abgegriffen wurden. In seiner Entscheidung konnte das Gericht daher offenlassen, ob die Beklagte zurechenbar gegen die DS-GVO verstoßen hat oder nicht.
Gegen das klageabweisende Urteil des LG hatte der Kläger Berufung eingelegt. Nachdem das Oberlandesgericht Nürnberg ihn darauf hingewiesen hatte, dass es die Berufung für aussichtslos hält, nahm der Kläger sie zurück. Das Urteil des LG ist damit rechtskräftig.
Am LG Nürnberg-Fürth sind erstinstanzlich bislang 102 gleichgelagerte Verfahren eingegangen. Alle bereits durch Urteil entschiedenen Verfahren (laut Gericht mehr als die Hälfte), endeten mit einer Klageabweisung. Ein Teil der Verfahren befindet sich noch in der Berufungsinstanz.
Landgericht Nürnberg-Fürth, Urteil vom 15.05.2024, 10 O 5225/23 sowie Oberlandesgericht Nürnberg, Hinweisbeschluss vom 19.09.2024, 14 U 1227/24