AG Frankfurt am Main, Urteil vom 10.07.2020 - 385 C 155/19 (70)
Fundstelle
openJur 2021, 44667
  • Rkr:
Tenor

Die Klage wird abgewiesen.

Die Kosten des Rechtsstreits hat der Kläger zu tragen.

Das Urteil ist vorläufig vollstreckbar.

Der Kläger darf die Zwangsvollstreckung abwenden gegen Sicherheitsleistung in Höhe von 110 % des aus dem Urteil vollstreckbaren Betrages, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils beizutreibenden Betrages leistet.

Tatbestand

Der Kläger übernachtete im Zeitraum 2014 bis 2018 mehrmals in Hotels der A-Gruppe.

Dabei speicherte die Beklagte die Daten des Klägers in einem Registrierungssystem der B Gruppe, unter anderem Daten, die vom Kläger bei der Buchung angegeben wurden wie Name, Anschrift, Kreditkartennummer und Passnummer sowie Daten, die während des Aufenthaltes des Klägers in den Hotels gesammelt wurden wie Angaben zu Minibar und Snacks.

Der Kläger erfuhr im November 2018 aus der Presse, dass es einen Fehler im System der Beklagten gab, so dass gespeicherte Daten an Dritte gelangen konnten.

Mit Schreiben vom 09.01.2019, der Beklagten zugegangen am 11.01.2019 ersuchte der Kläger die Beklagte um Auskunft, ob und welche Daten zu seiner Person an Dritte gelangt sind (Anl. K4, Bl. 24-26 der Akten).

Die Beklagte bat um Verlängerung der einmonatigen Frist zur Auskunftserteilung (Anl. K5, Bl. 27 der Akten). Der Kläger schaltete seinen Prozessbevollmächtigten ein und setzte der Beklagten mit anwaltlichem Schreiben vom 13.02.2019 Frist zur Auskunftserteilung bis 20.02.2019.

Die betreffenden Antwortschreiben wurden unter dem 15.02.2019 und 20.02.2019 durch den

"Data Protection Officer" der "A.... USA" gefertigt (Anl. K7 und K8, Bl. 31-34 der Akten. Für weitere Informationen wurde der Kläger auf die Internetseite der A-Gruppe verwiesen. Wenige Tage später erhielt der Kläger von der Beklagten eine Zusammenstellung von Bildschirm- und Tabellenausdrucken (Bl. 36ff).

Am 02.04.2019 erhielt der Kläger eine E-Mail der Hessischen Beauftragten für den Datenschutz, worin erklärt wurde, dass für das Management der B Gruppe in Europa u.a. die Beklagte verantwortlich sei (Anlage K12, Bl. 84 d.A.)

Der Kläger behauptet, die Beklagte sei eine Holding-Gesellschaft, die in Deutschland selbst oder durch Tochtergesellschaften Hotels unter Marken wie XXX, XXX, XXX oder XXX betreibe.

Die Beklagte sei passivlegitimiert, da sie ja die Buchungen abwickele und von daher Zugriff auf die Daten habe. Sie wisse ja um die Hotels, die betroffen seien und von der Hessischen Datenschutzbeauftragten auch als Verantwortliche im Sinne der Datenschutzgrundverordnung benannt worden.

Der Kläger ist der Ansicht, dass die Auskunft verspätet und nicht vollständig erteilt worden sei, insbesondere seien die Tabellenausdrucke nicht verständlich. Der Kläger sei stets von einem Gefühl des Unbehagens begleitet, dass seine persönlichen Daten in Zukunft von Dritten genutzt werden. Es sei zudem unklar welche Daten des Klägers überhaupt abhandengekommen oder weiterverwendet worden seien.

Der Kläger beantragt,

die Beklagte zu verurteilen, an ihn Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, von mindestens 1.500,- EUR nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen;

festzustellen, dass die Beklagte dem Kläger sämtliche Schäden zu ersetzen hat, die ihm künftig wegen des unbefugten Zugangs zu den personenbezogenen Daten des Klägers in der Datenbank für Gästereservation der Beklagten entstehen, insbesondere Schäden wegen Kopien dieser Daten, die nicht autorisierte Parteien aus der Datenbank in der Zeit von 2014 bis November 2018 gefertigt haben;

die Beklagte zu verurteilen, an den Kläger vorgerichtliche Rechtsanwaltskosten in Höhe von 147,56 EUR nebst Jahreszinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu erstatten.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte rügt die fehlende Passivlegitimation unter Verweis auf Besonderheiten im Hotelbereich. Der Kläger habe bei Franchisenehmern der amerikanischen Franchisegeberin übernachtet. Auch die Beklagte sei ein solches Tochterunternehmen. Die Datenbank liege in den USA, bei der Franchisegeberin. Die hiesige Beklagte habe keinen Zugriff auf diese Daten. Sie sei nur deswegen benannt worden, weil die verantwortlichen Behörden angesichts des Datenlecks um einen Ansprechpartner, eine Art Briefkasten in Deutschland gebeten hätten. Nur deswegen sei die Beklagte überhaupt benannt worden. Sie ist aber nicht Verantwortlicher im Sinne der Datenschutzgrundverordnung.

Bei den Antwortschreiben handele es sich lediglich um eine Serviceleistung der Beklagten. Sie habe nur die betreffenden Anfragen ohne Rechtspflicht zur Beantwortung weitergegeben. Das erste Hotel in Hamburg, indem der Kläger gemäß Anl. K3 übernachtete, gehöre ebenfalls einer Franchisenehmerin: Das XXX, in dem der Kläger übernachtet habe, sei gar nicht von dem Datenleck betroffen gewesen.

Die Anfrage des Klägers sei angesichts der Anzahl der Betroffenen und Anfragen insgesamt rechtzeitig beantwortet worden.

Es fehle an konkreten Beeinträchtigungen des Klägers als Folge des Datenlecks.

Zur Ergänzung des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie die gerichtliche Niederschrift vom 05.06.2020 Bezug genommen.

Gründe

Die Klage ist zulässig, aber unbegründet.

Der Kläger hat gegen die Beklagte einen Anspruch weder aus § 82 Abs. 1 DSGVO noch einem sonstigen Rechtsgrund.

Es zwar unstreitig zu einem Verstoß gegen Art. 5 f) Datenschutzverordnung (DSGVO) gekommen. Die personenbezogenen Daten des Klägers wurden in einer Weise verarbeitet, die eine angemessene Sicherheit der personenbezogenen Daten nicht gewährleistet hat. Es wurde kein hinreichender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen gewährleistet, wodurch die personenbezogenen Daten des Klägers an Dritte gelangt sind oder sein könnten.

Die Beklagte dürfte auch passivlegitimiert und verantwortlich im Sinne der Datenschutzgrundverordnung sein. Anspruchsverpflichtete nach Art. 82 Abs. 1 DSGVO können nur Verantwortliche und der Auftragsverarbeiter sein. Grundvoraussetzung ist, dass eine Beteiligung an einem Verarbeitungsvorgang erfolgt ist. Der Begriff der Beteiligung ist gem. Art. 4 DSGVO weit auszulegen, so dass bereits eine Beteiligung an einem Einzelvorgang in einer Vorgangsreihe vorliegt (Paal, MMR 2020, 15). Soweit Beklagte behauptet, kein Verantwortlicher zu sein, weil sie weder über die Mittel des Datenverarbeitungssystems verfüge, noch über die Zwecke der Datenverarbeitung mitentscheide und der Server in den USA liege, ist zu berücksichtigen, dass die Beklagte selbst einräumt, das B-Gästereservierungssystem zunächst im Jahr 2016 übernommen und erst nach und nach bis Dezember 2018 auf ein anderes System umgestellt zu haben. Die Datenschutzverletzung erfolgte also zum Zeitpunkt, in dem die Beklagte das System nutzte. Die Beklagte hat also das System verwendet und war dadurch an Vorgängen, die im Zusammenhang mit dem System durchgeführt wurden, im Sinne des Art. 4 DSGVO beteiligt. Auch die Benennung als Verantwortlicher durch die Hess. Datenschutzbeauftragte spricht grundsätzlich für eine Passivlegitimation der Beklagten.

Ein Verstoß durch die Beklagte gegen die Mitteilungspflicht nach Art. 39 DSGVO liegt nicht vor, weil die Beklagte unverzüglich, nachdem sie am 19.11.2018 festgestellt hat, dass auf personenbezogene Daten zugegriffen worden war, wenige Tage später am 30.11.2018 über den Vorfall auf ihrer Webseite berichtete und eine Pressemitteilung am 30.11.2018 veranlasste. Auf die individuelle Nachfrage des Klägers hin, hat die Beklagte innerhalb von wenigen Tagen reagiert und um eine Fristverlängerung gebeten. Sechs Wochen nach Anfrage des Klägers hat die Beklagte sodann dem Kläger die Auskunft erteilt, dass er von dem Vorfall betroffen ist und ihm Tabellenübersichten zur Verfügung gestellt. Dies dürfte zwar vor dem Gesichtspunkt, dass der Kläger im Ungewissen gelassen wurde, ob seine personenbezogenen Daten von dem unbefugten Zugriff betroffen sind, nicht mehr als unverzüglich gewertet werden. Allerdings hat die Beklagte mit der Pressemitteilung und der Mitteilung auf ihrer Webseite Kunden, die möglicherweise betroffen waren, über den Fehler im Gästereservierungssystem in Kenntnis gesetzt. So wusste der Kläger, dass die Möglichkeit einer Verletzung seiner personenbezogenen Daten durchaus besteht. Vor dem Hintergrund, dass die Beklagte eine hohe Anzahl an individuellen Anfragen bearbeiten musste, ist eine Wartezeit von sechs Wochen auf eine umfangreiche Auskunft nicht unangemessen lang, selbst wenn es, wie der Kläger betont, "nur 5000 Betroffene" gegeben haben sollte. Die Beklagte hat unter den gegebenen Umständen, insbesondere die einmonatige Frist berechtigterweise nach § 12 Abs. 3 DSGVO verlängern lassen und innerhalb von drei Monaten die Auskunft erteilt.

Der damit gegebene bloße Verstoß gegen Art. 5 f) DSGVO ist allein nicht ausreichend, einen Schadensersatzanspruch zu begründen (vgl. AG Hannover, Urteil vom 09.03.2029, Az. 531 C 10952/19). Vielmehr bedarf es eines kausalen Schadens. Dieser fehlt hier. Mit dem Schmerzensgeld soll dem Geschädigten ein Ausgleich und eine Genugtuung für die erlittenen Schmerzen geboten werden (Palandt-Grüneberg,79. Aufl., § 253 BGB, Rn. 4). Der Kläger beruft sich zwar darauf, einen immateriellen Schaden dadurch erlitten zu haben, dass seine personenbezogenen Daten an Dritte gelangt sind. Er lebe mit einem Gefühl des Unbehagens, dass seine personenbezogenen Daten noch künftig unbefugt verwendet werden können. Grundsätzlich soll gem. Erwägungsgrund 146 S. 6 DSGVO jeder Betroffene einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dabei soll die Schadensersatzhöhe unter Berücksichtigung unionsrechtlichen Effektivitätsgrundsatzes so bemessen werden, dass eine Abschreckungswirkung entfaltet wird (Paal, MMR 2020, 16). Grundsätzlich sind immaterielle Schäden bei Persönlichkeitsrechtsverletzungen ersatzfähig, allerdings muss die Beeinträchtigung objektiv nachvollziehbar und feststellbar sein. Eine solche Verletzung muss zwar nicht schwerwiegend, aber dennoch spürbar sein (Paal, MMR 2020, 16). Eine individuell empfundene Unannehmlichkeit oder ein Bagatellverstoß ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person reicht dafür nicht aus (Paal, MMR 2020, 16).

Der Kläger hat einen solchen Schaden nicht hinreichend dargelegt. Ein Gefühl des Unbehagens ist für einen immateriellen Schaden nicht ausreichend. Es bedarf hierfür zumindest einer öffentlichen Bloßstellung (Paal, MMR 2020, 17; Kohn, ZD 2019, 498, 500). Der Kläger hat aber nicht dargelegt, dass er durch die Verletzung des Datenschutzes in irgendeiner Weise gesellschaftliche oder persönliche Nachteile erlitten hat. Die bloße Tatsache der Übernachtung oder der Inhalt der Minibar oder genossenen Snacks ist hierzu nicht geeignet.

Die Darlegungs- und Beweislast für diese anspruchsbegründende Tatsache liegt beim Kläger. In dieser Hinsicht ist der Kläger seiner Darlegungspflicht nicht hinreichend nachgekommen. Lediglich beim Nachweis der Kausalität zwischen der Verletzung des Datenschutzes und dem Schaden darf der Betroffene Beweiserleichterungen gem. Art. 5, 24 DSGVO erfahren, was vorliegend jedoch bereits mangels Schadens nicht in Betracht kommt (vgl. Paal, MMR 2020, 17).

Mangels konkretem Schaden und auch in Hinblick auf den Zeitablauf ohne konkrete Beeinträchtigung besteht auch kein Anspruch auf die begehrte Feststellung.

Da die Hauptanträge der Abweisung Unterlagen, besteht auch kein Anspruch auf die geltend gemachten vorgerichtlichen Kosten und Zinsen.

Die Kostenentscheidung folgt aus § 91 Abs. 1 ZPO.

Die Entscheidung zur vorläufigen Vollstreckbarkeit hat ihren Rechtsgrund in §§ 708 Nr. 11, 711 ZPO.

Zitiert0
Referenzen0
Schlagworte