Keine Haftung der Musik-Streaming-Plattform für immateriellen Schadensersatz nach Datenleck – Das Urteil des Landgerichts Nürnberg-Fürth
Das Landgericht Nürnberg-Fürth hat mit Urteil vom 24. Oktober 2023 (Az. 10 O 5225/23) entschieden, dass betroffene Nutzer einer Musik-Streaming-Plattform nach einem Hackerangriff kein Anrecht auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DSGVO haben. Die Entscheidung befasst sich grundlegend mit den Voraussetzungen für einen solchen Anspruch infolge von Datenpannen und den Anforderungen an eine Darlegung konkreter Schäden durch betroffene Personen.
Hintergrund: Cyberangriff und Offenlegung personenbezogener Daten
Im zugrunde liegenden Sachverhalt drangen unbekannte Dritte über technische Schwachstellen in die Systeme einer namhaften Musik-Streaming-Plattform ein und verschafften sich Zugriff auf eine Vielzahl personenbezogener Daten der Nutzer. Betroffen waren insbesondere die E-Mail-Adressen und Passwörter – letztere laut Sachverhaltsfeststellungen in verschlüsselter Form.
Nach Bekanntwerden des Datenvorfalls informierte der Plattformbetreiber zeitnah die Nutzer und die zuständigen Datenschutzbehörden. Die betroffenen Nutzer begehrten im Nachgang Ersatz immaterieller Schäden mit Verweis auf die DSGVO, insbesondere unter Hinweis auf potentielle Missbrauchsmöglichkeiten ihrer Daten und eine damit verbundene Beeinträchtigung ihres allgemeinen Persönlichkeitsrechts.
Maßstab für Schadensersatzansprüche nach Art. 82 DSGVO
Anforderungen an das Vorliegen eines Schadens
Das Landgericht hob hervor, dass der bloße Zugriff Unbefugter auf personenbezogene Daten nicht per se als haftungsbegründender Nachteil bewertet werden könne. Für einen Anspruch auf Schadensersatz bedarf es vielmehr eines substantiierten, nachweisbaren Schadens, der über eine abstrakte Gefährdungslage hinausgeht.
Insbesondere forderte das Gericht eine ausdrückliche Darlegung, inwieweit der Kläger durch den Vorfall einen spürbaren Nachteil oder eine konkrete Beeinträchtigung erlitten habe. Der pauschale Verweis auf die Möglichkeit des Datenmissbrauchs und das allgemeine Risiko von Folgeangriffen genüge den Vorgaben der DSGVO nicht, um einen immateriellen Schaden zu begründen.
Keine automatisierte Annahme von Schadensersatz
Das Landgericht betonte weiter, dass der Zweck von Art. 82 DSGVO nicht darin bestehe, bei jeder Datenschutzverletzung automatisch einen Ausgleichstatbestand zugunsten der Betroffenen zu schaffen. Im Vordergrund stünde vielmehr die Kompensation tatsächlicher individueller Schäden. Die Schwelle für die Annahme eines ersatzfähigen immateriellen Schadens sei angesichts der unionsrechtlichen Vorgaben bewusst hoch anzusetzen, um eine ausufernde Haftung der datenverarbeitenden Stellen zu verhindern.
Im konkreten Fall ließ das Gericht die Behauptung des Klägers, durch die Datenpanne erheblich verunsichert und psychisch belastet worden zu sein, als nicht ausreichend konkretisiert und glaubhaft erscheinen. Die Darstellung beschränkte sich nach Ansicht der Kammer auf allgemeine Befürchtungen, ohne nachweisbaren Zusammenhang zu einer real eingetretenen Beeinträchtigung.
Verantwortlichkeit des Plattformbetreibers und Organisationspflichten
Technische und organisatorische Schutzmaßnahmen
Die Entscheidung enthält zudem grundsätzliche Aussagen zur Verantwortlichkeit des Plattformbetreibers im Hinblick auf einschlägige Schutzpflichten. Im vorliegenden Fall lag nach Überzeugung des Gerichts kein Verstoß gegen die einschlägigen Datenschutzvorgaben vor. Insbesondere wurde festgestellt, dass die Passwörter verschlüsselt gespeichert und weitere angemessene technische und organisatorische Maßnahmen implementiert worden waren.
Die Tatsache, dass es trotzdem zu einem erfolgreichen Angriff gekommen war, begründe nicht automatisch ein Organisationsverschulden. Es sei zu berücksichtigen, dass keine absolute Datensicherheit existiere; vielmehr seien angemessene Vorkehrungen nach dem Stand der Technik entscheidend. Die Plattform hatte zudem unverzüglich die erforderlichen Schritte eingeleitet, um die Schwachstelle zu schließen und die Betroffenen zu benachrichtigen.
Rolle der Datenschutzbehörde
Erwähnenswert ist die parallele Prüfung durch die zuständige nationale Datenschutzbehörde, die keine weitergehenden aufsichtsrechtlichen Maßnahmen gegenüber dem Plattformbetreiber für erforderlich hielt. Dies unterstreicht nach Ansicht der Kammer, dass der Vorfall keine grobe Verletzung von Datenschutzpflichten darstellte.
Systematische Relevanz und Maßgaben für die Durchsetzung von DSGVO-Ansprüchen
Die Rechtsprechung des Landgerichts Nürnberg-Fürth reihte sich in eine wachsende Zahl an Entscheidungen nationaler und europäischer Gerichte ein, die hohe Anforderungen an die Geltendmachung immaterieller Schadensersatzansprüche setzen. Damit trägt das Urteil zur Versachlichung der Diskussion um Haftungstatbestände nach Datenpannen bei und stellt zugleich klar, dass die bloße Betroffenheit von einer Datenschutzverletzung im Regelfall nicht ausreicht.
Neben dem Erfordernis eines substanziierten Nachweises eines konkreten Schadens wird die Verpflichtung zur Implementierung angemessener Sicherheitssysteme durch Verantwortliche bestätigt. Die konsequente Einhaltung dieser Anforderungen gewinnt für Unternehmen wie auch für Plattformnutzer weiter an Bedeutung – sowohl im Hinblick auf den Schutz personenbezogener Daten als auch bezüglich potenzieller Haftungsrisiken.
Das Urteil ist, soweit ersichtlich, rechtskräftig. Eine Abkehr hiervon durch eine obergerichtliche Entscheidung ist derzeit nicht erkennbar. Es bleibt abzuwarten, inwiefern sich der europäische Gerichtshof künftig mit dem Grad erforderlicher Darlegungen beim immateriellen Schadensersatz nach Art. 82 DSGVO befasst.
Datenschutzvorfälle erfordern eine sorgfältige rechtliche Einordnung der Verantwortlichkeit und der potenziellen Ansprüche der Betroffenen. Bei weitergehenden Fragen in Bezug auf die aktuelle Rechtsprechung und praxisrelevante Unternehmenspflichten kann eine individuelle Rechtsberatung im Datenschutz durch erfahrene Berater von MTR Legal unter Rechtsberatung im Datenschutz weiterführende Erkenntnisse bieten.
