Urteil des OLG Dresden vom 15.10.2024 (Az. 4 U 940/24)
Das Oberlandesgericht Dresden hat die Klage eines Nutzers eines Musikstreamingdienstes auf DSGVO-Schadensersatz wegen eines Datenhacks bei einem Auftragsverarbeiter des Dienstes zurückgewiesen.
Ein Nutzer, der in einem Hacker-Forum auf den Datenhack aufmerksam wurde, verlangte vom Streamingdienst immateriellen Schadensersatz auf Grundlage des Art. 82 DSGVO. Der Nutzer begründete seinen Anspruch mit einem „konkreten und emotional spürbaren Nachteil“ durch die Sorge vor einer unbefugten Veröffentlichung seiner personenbezogenen Daten und einem erhöhten Aufkommen von Werbeanrufen und Werbe-E-Mails. Auch die Sorge vor Identitätsdiebstahl und Passwortklau treibe ihn um.
Kein Anspruch auf Schadensersatz
Das Gericht hat den geltend gemachten Schadensersatzanspruch mangels Nachweis eines konkreten Schadens des Nutzers abgelehnt. Auch wenn die Rechtsprechung nicht das Erreichen einer Erheblichkeitsschwelle für das Vorliegen eines Schadens verlangt, obliegt dem Betroffenen gleichwohl der Beweis, dass überhaupt ein konkreter Schaden entstanden ist.
Der bloße Kontrollverlust über Daten stellt nach Ansicht des Gerichts keinen solchen konkreten Schaden dar, insbesondere wenn es nicht um Daten geht, die in die persönliche Lebenssphäre des Betroffenen hineinragen. Die hier gehackte E-Mail-Adresse werde im Rahmen der alltäglichen Kommunikation ohnehin vielen Stellen offengelegt und stelle daher kein besonders sensibles Datum dar. Auch die Befürchtung des vermehrten Erhalts von Werbe-E-Mails genügt nach Ansicht des Gerichts nicht, einen konkreten Schaden zu begründen.
Überwachung von Auftragsverarbeitern
Neben dem Thema des Schadensersatzes befasste sich das Gericht auch mit Fragen zur Überwachung des vom Streamingdienst eingesetzten Auftragsverarbeiters. Nach Art. 28 DSGVO darf der Verantwortliche nur solche Auftragsverarbeiter einsetzen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen zum Schutz der im Auftrag verarbeiteten personenbezogenen Daten getroffen werden. Hieraus resultiert nicht nur eine Pflicht zur sorgfältigen Auswahl, sondern auch zur fortwährenden Überwachung des Auftragsverarbeiters.
Zwar dürfen die Anforderungen an Auswahl und Überwachung nach Ansicht des Gerichts nicht überspannt werden. So dürfe ein Verantwortlicher auf Zuverlässigkeit und Fachwissen führender, bekannter IT-Dienstleister vertrauen, ohne dass zum Beispiel eine praxisferne Vor-Ort-Kontrolle des Dienstleisters erforderlich wäre.
Bei der Verarbeitung großer Datenmengen (wie im vorliegenden Fall) oder sensibler Daten ergeben sich nach Ansicht des Gerichts indes gesteigerte Kontrollpflichten, die sich auch auf die Einhaltung der Löschpflichten des Dienstleisters nach Ende des Auftrags erstrecken. Der Verantwortliche ist danach verpflichtet, die Löschung der Daten nach Auftragsende zu überwachen: Er muss sich die erfolgte Datenlöschung vom Dienstleister bestätigen lassen und wenn trotz Anmahnung eine solche Bestätigung nicht erfolgt, muss der Verantwortliche nach Ansicht des Gerichts sogar eine Vorort-Prüfung beim Dienstleister vornehmen.
Fazit
Das Urteil reiht sich in die Tendenz der Gerichte ein, immateriellen Schadensersatz nach der DSGVO nicht leichtfertig zuzusprechen, sondern vom Beweis eines echten Schadens abhängig zu machen. Ein „ungutes Gefühl“ des Betroffenen genügt hierfür jedenfalls nicht.
Ferner zeigt das Urteil, dass Verantwortliche ihre Überwachungspflichten beim Einsatz von Auftragsverarbeitern ernst nehmen und darauf vorbereitet sein sollten, deren Einhaltung jederzeit nachweisen zu können.
