1. Die Klage wird abgewiesen.
2. Der Kläger hat die Kosten des Rechtsstreits zu tragen.
3. Das Urteil ist gegen Sicherheitsleistung in Hohe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.
Beschluss
Der Streitwert wird auf 6.650,00 € festgesetzt.
Der Kläger begehrt Schadensersatz wegen einer behaupteten Datenschutzverletzung.
Die Beklagte betreibt ... ein soziales Netzwerk und eine Online Plattform ... Der Kläger legte dort unter Verwendung der E-Mail Adresse ... - seine Kanzlei - E-Mail Adresse - ein Kundenkonto an. Mit Schreiben vom 13.07.2020 forderte der Kläger von der Beklagten Schadensersatz wegen eines angeblichen Datenschutzvorfalls vom Januar 2019 auf der Webseite ... zu seiner E-Mail Adresse ... (Anlage K 3) Die Webseite ... gehört nicht der Beklagten. Unter Hinweis darauf antwortete die Beklagte mit Schreiben vom 21.07.2020 (Anlage K 4) und teilte dem Kläger zugleich mit, wie und über welche URL-Links er in seinem ... account unter "Einstellungen & Datenschutz" eine vollständige Kopie der über ihn innerhalb seines Nutzerkontos gespeicherten Daten einsehen und herunterladen könne.
In Erwägungsgrund 63 der DSGVO heißt es: "Nach Möglichkeit sollte der Verantwortliche den Femzugang zu einem sicheren System bereitstellen können, der den betroffenen Personen direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde".
Der Kläger macht geltend, seine Anfrage nach Auskunft über seine bei ... verarbeiteten personenbezogenen Daten vom 13.07.2020 (Anlage K 4) habe die Beklagte bis heute nicht beantwortet. Der Kläger hat hierzu zunächst behauptet, von seinem ... Account zur E-Mail Adresse ... seien im Rahmen eines Hacks im Februar 2019 u.a. seine Daten gestohlen worden. Hierzu legt der eine Seite von "HPI identity Leak Checker" des Hasso-Plattner-Instituts unter Anlage K 2 vor.
Die von der Beklagten mit der Antwort-Mail vom 21.07.2020 (Anlage K 4) übersandten URL-Links zur Einsicht in die über seinem Bereich gespeicherten Daten seien unbrauchbar; sie zeigten bei Aufruf "page not found".
Mit Schriftsatz vom 10.03.2021 sowie in der mündlichen Verhandlung am 08.07.2021 trägt der Kläger vor, um einen Datenschutzvorfall zur E-Mail-Adresse ... gehe es nicht mehr, sondern um seinen ... account zur E-Mail - Adresse ...
Der Kläger behauptet, nach einer HPI - Anfrage vom 11.02.2021 (Anlage K 7) seien schon im Juni ... durch ein Datenleck seine die Zugangsdaten gestohlen worden. Über den Datenschutzvorfall sei er nicht von der Beklagten informiert worden. Im Jahr 2016 habe das Magazin ... berichtet, dass über den Darknet-Markt ... Accounts gestohlenen Daten angeboten worden seien. Der Kläger behauptet ferner, ... schütze nicht in ausreichendem Maße die Daten der Nutzer, also auch nicht die des Klägers gegen Hacker - Angriffe. Er habe erstmals 2020 von dem auch in betreffenden Datenleck aus dem Jahr ... erfahren.
Der Kläger trägt vor, er habe durch den Verstoß gegen seine Auskunftsrechte und das durch Systemfehler ermöglichte Datenleck ... die Kontrolle über seine Daten verloren. Hierin liege sein Immaterieller Schaden, der wegen der Schwere der Datenschutzverletzung mit mindestens 4.500,00 € zu bewerten sei.
Der Kläger beantragt,
die Beklagte zu verurteilen, an die Klagepartei einen Betrag in Höhe von 6.650,00 € nebst Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen.
Die Beklagte beantragt,
die Klage abzuweisen.
Die Beklagte trägt vor, mit der Mitteilung und Erläuterung der URL-Links sowie den Hinweis auf weitere Kontaktmöglichkeiten in ihrer E-Mail vom 21.07.2021 (Anlage K 4) habe die Beklagte auf ihre Auskunftspflichten nach der DSGVO erfüllt. Das von der Beklagten angebotene Auskunftssystem sei marktüblich. Nach Erwägungsgrund 63 der DSGVO sei der Fernzugriff auf ein elektronisches Auskunftssystem ausdrücklich als Möglichkeit genannt. Mit einem solchen System zum Fern- und Direktzugriff solle den Nutzern eine handhabbare Plattform zur Erfüllung der Pflichten aus Art. 15 DSGVO zur Verfügung gestellt werden. Das von ihr, der Beklagten, zur Verfügung gestellte Informationssicherheit-Management Systems sei nach internationalen Standards wie der Norm ISO/IEC27001 zertifiziert, sicher und funktioniere. Auf die Mitteilung der Links mit ihrer E-Mail vom 21.07.2020 (Anlage K 4) habe sich der Kläger nicht mehr reagiert.
Im Übrigen bestreitet die Klagepartei einen Datenschutzvorfall betreffend die E-Mail-Adresse des Klägers ... Die hierzu vorgelegte Anlage K7 belege gar nichts, nicht einmal die E-Mail-Adresse ... sei dort genannt.
Auch zu den angeblich fehlenden Sicherheitsmaßnahmen auf Seiten der Beklagten, aufgrund derer es zu einer Verletzung des Schutzes personenbezogener Daten des Klägers gekommen sein soll, habe der Kläger nichts Valides vorgetragen.
Die Beklagte erhebt im Hinblick auf den behaupteten Oatenschutzvorfall ... vorsorglich die Einrede der Verjährung.
Wegen des weiteren Sach- und Streitstands wird auf die Schriftsätze der Parteien samt Anlagen sowie auf das Protokoll der Sitzung vom 08.07.2021 Bezug genommen.
Die zulässige Klage ist unbegründet.
I. Dem Kläger steht kein Anspruch auf Ersatz eines immateriellen Schadens gemäß Art. 82 DS-GVO gegen die Beklagte zu. Der Kläger hat weder einen Verstoß der Beklagten gegen die Datenschutzverordnung nachvollziehbar dargelegt noch einen ersatzfähigen Schaden.
Im Einzelnen gilt Folgendes:
1. Der Kläger macht geltend, er habe die Beklagte mit Schreiben vom 13.07.2020 (Anlage K 3) zur Auskunft über seine bei der Beklagten verarbeiteten personenbezogenen Daten gemäß Art. 15 DSGVO aufgefordert. Dem sei die Beklagte nicht nachgekommen. Die ihm mit E-Mail vom 21.07.2020 (Anlage K 4) übersandten URL - Links würden nicht funktionieren. Dies trifft nicht zu Schon die Auskunftsanfrage des Klägers war irreführend. Zum einen hatte der Kläger mit seiner Anfrage vom 13.07.2020 Auskunft betreffend einer anderen E-Mail - Adresse angefragt ... und zudem noch zu einer falschen Webside ... nicht zur Beklagten gehört. Trotzdem hat die Beklagte mit der Mitteilung der beiden URL - Links ... die über den persönlichen Kundenaccount im Bereich "Einstellungen & Datenschutz" abrufbar sind, die Auskunft nach Art. 15 DSGVO auch für den Account des Klägers zur E-Mail - Adresse ... erteilt.
Die Einlassung des Klägers, diese URL - Links seien nicht aufrufbar, es handele sich um tote Links, die nur die Nachricht "page not found" (Anlage K 6) generierten, ist schlicht nicht nachvollziehbar. Zum einen hat die Beklagte Screenshots der bei Aufruf der Seiten jeweils erscheinenden Startseiten unter Anlage B4 vorgelegt. In der mündlichen Verhandlung am 08.07.2021, die im Wege der Videokonferenz stattgefunden hat, erklärten der Kläger und der Vertreter der Beklagten, während der Sitzung jeweils die Seiten über ihre Rechner aufrufen zu wollen. Der Kläger bekundete, dies sei ihm wiederum nicht gelungen, die Seiten öffneten sich bei ihm nicht. Der Beklagtenvertreter meldete demgegenüber den Vollzug des Aufrufs der Webseiten. Die jeweiligen Ergebnisse konnten im Rahmen der Videokonferenz nicht in Augenschein genommen werden. Das Gericht konnte sich jedoch im Nachgang zu Sitzung selbst davon überzeugen, dass sich die von der Beklagten mitgeteilten URL-Links als ständig zur Verfügung stehende Links ohne Probleme im Bereich "Einstellungen & Datenschutz" in ... Accounts öffnen lassen und die von der Beklagten in Anlage B4 als Screenshots vorgelegten Startseiten erscheinen.
Die Beklagte hat insoweit unbestritten vorgetragen, es handele sich dabei um ein marktübliches und zertifiziertes Auskunftssystem. Die elektronische Bereitstellung der personenbezogenen Daten aus dem Account heraus ist von der DSGVO ausdrücklich zugelassen. Im Erwägungsgrund 63 zur DSGVO heißt es, dass nach Möglichkeit der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können sollte, der den betroffenen Personen direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde.
Die Beklagte hat somit die vom Kläger geforderte Auskunft nach Art. 15 DSGVO erteilt, indem sie ihm ständig verfügbare URL-Links zur Verfügung stellte, mit welcher ... Kunden die über sie in ihrem Bereich gespeicherten Daten jederzeit abrufen können.
2. Aus dem Vortrag des Klägers, im Rahmen eines Datenlecks ... sei auch die E-Mail-Adresse des Klägers ... gestohlen worden; die Diebe hätten dadurch Zugriff auf sämtliche unter dieser E-Mail gespeicherten Kontakte, insbesondere Mandantenkontakte gehabt, die neben seiner eigenen E-Mail Adresse im Darknet hätten verkauft werden können, ist nicht nachvollziehbar. Es mag sein, dass - wie sich aus dem zuletzt unter Anlage K 10 vorgelegten Auszug eines Ergebnisses einer Anfrage des Klägers bei HPI Leak Checker ergibt - von einem groß angelegten Datenhack ... betroffenen Nutzem auch der Kläger betroffen war. Die Beklagte hat ihn unstreitig darüber nicht informiert. Nicht nachvollziehbar ist jedoch der Vortrag des Klägers, dadurch seien auch seine Kontaktdaten, insbesondere Mandantenkontakte dem Zugriff der Hacker preisgegeben und von diesen durch Adressierung von Spammails genutzt worden. Der Kläger hat hierzu keine konkreten Tatsachen vorgetragen. Dies ergibt auch nicht das vom Kläger zuletzt unter Anlage K 11 vorgelegte Privatgutachten .... Dort wird zu dem Umfang der abgezogenen Daten nichts ausgeführt. Den Zugriff auf Mandantenkontakte hat der Kläger ohne Spezifizierung und Beweisantritt in den Raum gestellt. Daher muss auch der Behauptung des Klägers, die Sicherheitssystem der Beklagten seien zum damaligen Zeitpunkt nicht ausreichend gewesen, nicht nachgegangen werden.
Denn einen ersatzfähigen Schaden hat der Kläger nicht dargetan. Zwar kann nach Art. 82 DS-GVO auch ein durch einen Verstoß gegen die Verordnung entstandener immaterieller Schaden ersetzt werden. In den Erwägungsgründen sind auch Nichtvermögensschäden durch Diskriminierung, Indentitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder gesellschaftliche Nachteile genannt (Vgl. BeckOK Datenschutz/Quaas DSGVO Art. 82 Rz. 23). Einen vergleichbaren schwerwiegenden Eingriff hat der Kläger indessen nicht vorgebracht Insbesondere hat der Kläger, dessen Kanzlei - EMail-Adresse betroffen gewesen sein soll, nicht vorgetragen, dass zum Beispiel vertrauliche Mandantendaten abgegriffen worden sein könnten. Die Kanzlei E-Mail - Adresse des Klägers dürfte demgegenüber nicht geheim, sondern ohne Weiteres Dritten zugänglich sein. Der Kläger hat sich im Übrigen darauf beschränkt vorzutragen, sein Schaden bestehe im Verlust der Kontrolle über seine Daten. Dies genügt nicht, um einen bemessbaren, immateriellen Schaden festzustellen.
Die Klage war daher abzuweisen.
II. Die Kostenentscheidung folgt aus § 91 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit ergibt § 709 ZPO.