Rechtliche Probleme bei gerichtlicher Durchsetzung dsgvo-konformer Datenverarbeitung II

Landgericht München_I

Beschluss v. 21.10.2019 - Az.: 25 O 13047/19

Leitsatz

Rechtliche Probleme bei gerichtlicher Durchsetzung dsgvo-konformer Datenverarbeitung II

Tenor

In dem Rechtsstreit (...)

wegen einstweiliger Verfügung 

erlässt das Landgericht München I - 25. Zivilkammer - durch (...) am 21.10.2019 ohne mündliche Verhandlung gemäß § 922 Abs.1 Satz 1 ZPO folgenden Beschluss:

1. Der Antrag vom 19.09.2019 auf Erlass einer einstweiligen Verfügung wird zurückgewiesen.

2. Der Antragsteller trägt die Kosten des Verfahrens.

3.  Der Streitwert wird auf 15.000,00 € festgesetzt.

Entscheidungsgründe

I.

Der Antragsteller verfügt über eine (...)-Kreditkarte und ist Teilnehmer des Bonusprogramms (...) P(...) S(...) der Antragsgegnerin.

Am 19. August 2019 erfuhr der Antragsteller, dass durch ein Datenleck seine Daten, nämlich mehrere Kreditkartennummern, Name, Geburtsdatum (falsch) und Mailadressen öffentlich auf einer Website zugänglich waren. Ergänzend wird auf die eidesstattliche Versicherung des Antragstellers vom 18.9.2019 (AS 2) Bezug genommen.

Am 22. August 2019 informierte die Antragsgegnerin Betroffene (AS 8).

Mit Anwaltschreiben vom 14. September 2019 (AS 10) forderte der Antragsteller die Antragsgegnerin zur Abgabe einer strafbewehrten Unterlassungsverpflichtungserklärung bis 11.9.2019 sowie zur Zahlung eines immateriellen Schadensersatzes von 700 €. Dies lehnte die Antragsgegnerin mit Schreiben vom 4,9,2019 (AS 11) ab und teilte mit:

„(...) hat die einschlägigen Vorgaben der DSGVO umgesetzt. Nach Bekanntwerden des Vorfalls hat (...) umgehend dafür gesorgt, dass der Auftragsverarbeiter, der die Plattform im Auftrag von (...) verwaltet hat, den Betrieb der „P(...) S(...)“-Plattform einstellt. 

Die Plattform ist mittlerweile deaktiviert und die Daten werden nicht länger aktiv verarbeitet. Lediglich eine isolierte Kopie der Daten wird noch für Untersuchungszwecke sowie zur Einhaltung der datenschutzrechtlichen Betroffenenrechte vorgehalten. Der Auftragsverarbeiter ist physisch und logisch von allen übrigen Datenbanken von (...) getrennt und der Vorfall war auf die „P(...) S(...)"-Plattform beschränkt.“

Der Antragsteller macht geltend, die Antragsgegnerin sei für die mangelnde Sicherheit der Datenverarbeitung verantwortlich, sein allgemeines Persönlichkeitsrecht sei rechtswidrig verletzt worden. Daher stehe ihm der geltend gemachte Unterlassungsanspruch zu.

Hilfsweise stützt sich der Antragsteller auf einen vertraglichen Unterlässungsanspruchs wegen Verletzung des Vertrags über die Teilnahme am Bonusprogramm.

Im Schriftsatz vom 04.10.2019 stützt sich der Antragsteller nunmehr auf einen Unterlassungsanspruch gem. Art. 79, 82 DSGVO in Verbindung mit § 1004 BGB. 

Die Eilbedürftigkeit ergebe sich aus der Verarbeitung sensibler personenbezogene Daten des Antragstellers mit einem erheblichen Mißbrauchspotential. Bei einer Fortdauer einer unsicheren Datenverarbeitung sei mit weiteren unbefugten Zugriffen auf die Nutzer-Datenbank und damit auch die Daten des Antragstellers zu rechnen, da der Antragsteller weiterhin Kunde der Antragsgegnerin sei.

Am 19.9.2019 beantragte der Antragsteller im Wege einer einstweiligen Verfügung zu erkennen:
Der Antragsgegnerin wird es bei Meldung eines Ordnungsgelds von bis zu zweihundertfünfzigtausend Euro, ersatzweise Ordnungshaft zu vollziehen an den Mitgliedern des Verwaltungsrates, oder Ordnungshaft von bis zu 6 Monaten zu vollziehen, an den Mitgliedern des Verwaltungsrates, untersagt, personenbezogene Daten des Antragstellers zu verarbeiten, ohne risikoadäquate Maßnahmen zum Schutz der Daten gegen ihre nicht durch einen gesetzlichen oder vertraglichen Erlaubnistatbestand gedeckte Veröffentlichung zu ergreifen, wie geschehen bei der Verarbeitung von zur Durchführung des Bonusprogramms „P(...) S(...)", eingesetzten Vertragsdaten des Antragstellers anlässlich dessen Teilnahme an dem Bonusprogramm der Unterlassungsschuldnerin im Jahr 2019.

Die Antragsgegnerin hatte bereits in einer Schutzschrift vom 12.9.2019 beantragt, den Antrag auf Erlass einer einstweiligen Verfügung zurückzuweisen.

Die Antragsgegnerin macht geltend, sie habe innerhalb kürzester Zeit auf diesen Vorfall reagiert und die gebotenen Maßnahmen ergriffen. Die von einem Drittanbieter betriebene Webseite sei deaktiviert und die Daten würden nicht länger verarbeitet. Weder dem Antragsteller nach den übrigen von seinen Prozessbevollmächtigten vertretenen Teilnehmern am Bonusprogramm sei ein Schaden entstanden. 

Es sei davon auszugehen, dass der Antragsteller seine Ansprüche an eine k(...) UG, die mit den Prozessbevollmächtigten des Antragstellers zusammenarbeite, abgetreten habe (AG 8-12) und er deshalb nicht aktivlegitimert sei.

Es fehle ferner am Rechtsschutzbedürfnis. Eine Wiederholungsgefahr sei nicht gegeben. Der Antragsteller könnte eine etwaige Wiederholungsgefahr selbst beseitigen, indem er sein Recht auf Löschung gemäß Art. 17 DSGVO ausübe.

Es bestehe weder einen Verfügungsanspruch noch ein Verfügungsgrund. Die DSGVO gewähre keinen Unterlassungsanspruch. Zudem kämen dieser eine Sperrwirkung zu, Die Voraussetzungen für eine Leistungsverfügung lägen nicht vor.

Der Antragsteller hat im Schriftsatz vom 15.10.2019 alternativ folgende Verbotsverfügung vorgeschlagen:

Der Antragsgegnerin wird es bei Meldung der gesetzlichen Ordnungsmittel untersagt, personenbezogene Daten des Antragstellers zwecks Durchführung eines Bonusprogramms zur Bewerbung des eigenen Unternehmens zu verarbeiten, ohne dabei durch geeignete Maßnahmen sicherzusteilen, dass diese Daten nicht ohne Zustimmung des Antragstellers im Internet veröffentlicht werden.

II.

Der Unterlassungsantrag ist weder zulässig noch begründet.

1.
Eine Übertragung auf die Kammer ist derzeit nicht erforderlich.

2.
Entgegen der Auffassung des Antragstellers hat die begehrte Verpflichtung keinen vollstreckungsfähigen Inhalt und ist nicht ausreichend bestimmt, Die Kammer folgt insoweit den überzeugenden Ausführungen des LG Wuppertal (AG 21).

Der Antrag des Antragstellers, der Antragsgegnerin zu untersagen, seine personenbezogenen Daten zu verarbeiten, ohne risikoadäquate Maßnahmen zum Schutz der Daten gegen ihre nicht durch einen gesetzlichen oder vertraglichen Erlaubnistatbestand gedeckte Veröffentlichung zu ergreifen, ist bereits unzulässig. Der Antrag ist nicht hinreichend bestimmt, vgl. § 253 Abs, 2 Nr. 2 ZPO.

Das Bestimmtheitserfordernis eines auf Unterlassen gerichteten Antrages Ist nur erfüllt, wenn das zu unterlassende Verhalten so konkret bezeichnet wird, dass der Antragsgegner sein Risiko erkennen und sein Verhalten darauf einrichten kann. Die Problematik ausreichender Bestimmtheit ist bei Unterlassungsanträgen parallel zu der Frage der Vollstreckbarkeit des jeweils geschaffenen Titels nach § 890 ZPO zu beantworten. 

Sowohl hinsichtlich des Antrags nach § 253 Abs. 2 Nr. 2 ZPO als auch bezogen auf § 890 Abs. 1 ZPO muss der Antragsgegner erkennen können, welche Leistung er zu erbringen hat. Er muss aus rechtsstaatlichen Gründen absehen können, wann eine Vollstreckungshandlung aufgrund einer Zuwiderhandlung zum Titel droht (LAG Hessen, Urt. v. 01.06.2012 -14 SaGa 124/12).

Zwar muss der Antragsgegnerin als potentielle Störerin grds. die Wahl zwischen mehreren Möglichkeiten der Beseitigung offen bleiben, jedoch muss durch den Antrag weiterhin dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr, 2 ZPO Rechnung getragen werden. Ein unbestimmter Tenor wäre nicht vollstreckbar. 

Diesem Erfordernis ist der Antragsteller nicht hinreichend nachgekommen. Aus dem Antrag, der Antragsgegnerin die Verarbeitung von personenbezogenen Daten zu untersagen, ohne vorher risikoadäquate Maßnahmen zum Schutz dieser Daten zu ergreifen, ist nicht hinreichend ersichtlich, welche Maßnahmen die Antragsgegnerin konkret zur Erfüllung ihrer Pflicht zu ergreifen hat. Ohne eine solche Konkretisierung ist für die Antragsgegnerin aber nicht klar, wann sie ihrer Pflicht genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde.

Die Grenzen sind für sie in keiner Weise ersichtlich.

Die ausreichende Bestimmtheit des Antrags ergibt sich auch nicht aus der DSGVO. Die DSGVO enthält durchaus Maßnahmen und Handlungsanforderungen, die datenverarbeitende Unternehmen erfüllen müssen. Gegenstand des Antrags sind aber nicht bestimmte Anforderungen der DSGVO, gegen die die Antragsgegnerin verstoßen haben soll und die zu dem Datenleck geführt zu haben sollen.

Aus den bereits ausgeführten Gründen ist auch die im Schriftsatz vom 15.10.2019 aufgeführte alternative Antragsfassung unzulässig, denn auch hier ist unklar, was die Antragsgegnerin nun tun soll.

3.
Dem Antragsteller steht, auch wenn man einen Anspruch der geltend gemachten Art unterstellt, kein Verfügungsgrund zu. Insoweit folgt die Kammer der Ansicht des LG Karlsruhe (AG 20).

Ein Verfügungsgrund besteht nach § 935 ZPO, wenn zu besorgen ist, dass durch eine Veränderung des bestehenden Zustandes die Verwirklichung des Rechtes einer Partei vereitelt oder wesentlich erschwert werden könnte (sog. Sicherungsverfügung) bzw. nach § 940 ZPO, wenn in Bezug auf ein streitiges Rechtsverhältnis die Regelung zur Abwendung wesentlicher Nachteile oder zur Verhinderung drohender Gewalt oder aus anderen Gründen nötig erscheint (sog. Regelungsverfügung). 

Über den Wortlaut der §§ 935, 940 ZPO hinaus lässt die Rechtsprechung jedoch ausnahmsweise eine sog. Leistungs- oder Befriedigungsverfügung zu, deren Inhalt auf die (vollständige oder teilweise) Befriedigung des Verfügungsanspruchs gerichtet ist.

Um eine solche geht es dem Antragsteller hier, da sein als Unterlassungsantrag formuliertes Begehren nicht lediglich auf eine zukünftige Untätigkeit der Antragsgegnerin, sondern auf ein Verhalten gerichtet ist, welches den Nichteintritt einer aus Sicht des Antragstellers (erneut) drohenden Beeinträchtigung seines Allgemeinen PersonIichkeitsrechts bewirkt, insbesondere die Vornahme von (im Einzelnen nicht konkretisierten) Sicherungsmaßnahmen. 

Dabei geht es dem Antragsteller offensichtlich nicht um eine Hilfestellung bei der Eindämmung der aus dem bereits erfolgten Datenverlust resultierenden Gefahren und auch nicht um die Abwehr einer sich konkret abzeichnenden Wiederholungsgefahr. Letztendlich umfasst der weite Antrag des Antragstellers sämtliche sich aus dem Gesetz und der Vertragsbeziehung ergebenden und insofern „adäquaten" Sicherungsmaßnahmen.

Inhaltlich ist dies nichts anderes als das Begehren einer ordnungsgemäßen Vertragsdurchführung in ihrer gesamten Weite.

Eine Leistungsverfügung kann aber ganz generell nur in engen Ausnahmefällen zugelassen werden, weil sie letztlich über den gesetzlichen Wortlaut der §§ 935, 940 ZPO hinausgeht und dabei im Rahmen eines nur summarischen Verfahrens dem Antragsteller bereits all das gewährt, was er auch nach Durchführung eines Hauptsacheverfahrens erreichen könnte. 

Um diese strengen Voraussetzungen zu erfüllen, muss der Antragsteller im Einzelfall darlegen und glaubhaft machen, dass er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen ist und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten, soweit nach Art des Anspruchs überhaupt möglich, oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist (Zöller/Vollkommer, ZPO, 32. Auflage, § 940 Rn 6 m. w. N.).

Dabei ist nicht nur die Frage zu stellen, ob die geschuldete Leistung nur innerhalb eines bestimmten Zeitraums vorgenommen werden kann und die rechtzeitige Erwirkung eines (Hauptsache-Titels im Klageverfahren für diesen bestimmten Zeitraum nicht möglich ist. Vielmehr muss insgesamt eine Interessenabwägung durchgeführt werden, da dem Interesse des Antragstellers an der Gewährung effektiven Rechtsschutzes vielfach das nicht weniger schutzwürdige Interesse der Antragsgegnerin gegenübersteht, nicht in einem mit nur eingeschränkten Erkenntnis- und Beweismöglichkeiten ausgestalteten summarischen Verfahren zu einer Erfüllung des umstrittenen Anspruchs verpflichtet zu werden. 

Der Erlass einer auf endgültige Anspruchsbefriedigung gerichteten einstweiligen Verfügung kommt somit allein dann in Betracht, wenn der dem Antragsteller aus der Nichterfüllung drohende Schaden außer Verhältnis zu demjenigen Schaden steht der dem Antragsgegner aus der sofortigen Erfüllung droht.

Diese Voraussetzungen hat der Antragsteller vorliegend weder hinreichend dargelegt, noch glaubhaft gemacht.

Dabei verkennt das Gericht nicht, dass es sich bei den bei der Antragsgegnerin gespeicherten Kreditkartennummern und Kontaktdaten um Informationen handelt, die in einem gesteigerten Maße dafür geeignet sind, zum Nachteil der Betroffenen missbräuchlich und unberechtigt benutzt zu werden und der Schutz dieser Daten - auch durch ausreichende technische Maßnahmen - dementsprechend ein zentrales Anliegen des europäischen und deutschen Datenschutzrechts darstellt. 

Einen konkret drohenden, zukünftigen und erheblichen Schaden hat der Antragsteller nicht dargetan. Sowohl die möglichen Nachteile eines Missbrauchs der bereits gesammelten Boni als auch die allgemeine Gefahr, dass aufgrund unzureichender Sicherungsmaßnahmen (unterstellt diese lägen vor) unberechtigt erlangte Daten von Dritten zum Nachteil des Antragstellers benutzt werden könnten, rechtfertigt die begehrte Verfügung jedenfalls in ihrer Weite nicht, zumal dem Antragsteller mit einer Löschung seiner Daten und der Lösung der Vertragsbindung zur Antragsgegnerin andere effektive Mittel zur Seite stehen, einer Missbrauchsgefahr dauerhaft zu begegnen und die Antragsgegnerin ihrerseits glaubhaft gemacht hat, die relevanten Daten zur Zeit ohnehin nicht zu nutzen.

Die Antragsgegnerin hat glaubhaft gemacht, dass die streitgegenständliche Plattform nicht mehr in Betrieb ist (AG 16). Daran ändert auch der Umstand nichts, dass sie unstreitig zwischenzeitlich wieder kurzfristig online war. Eine Wiederholung des streitgegenständlichen Datenlecks würde voraussetzen, dass sich die Antragsgegnerin nicht nur entscheidet, dass die Plattform wieder online gestellt wird, sondern auch, dass die Plattform unverändert wieder online stellt, ohne irgendwelchen weiteren Sicherheitsmaßnahmen.

Natürlich ist die Antragsgegnerin gegenüber dem Antragsteller und den anderen Bonusprogrammenteilnehmern verpflichtet, für die Sicherheit deren Daten Sorge zu tragen, wenn sie diese verarbeitet. Sicherungsmaßnahmen im einstweiligen Rechtsschutz sind aber nur möglich, wenn konkrete Möglichkeiten zur Sicherung bekannt sind, um ein erneutes Datenleck zu vermeiden. Der Antragsteller wirft der Antragsgegnerin vor, dass sie diverse Pflichten, die ihr nach der DSGVO oblegen hätten, nicht erfüllt hat, wie Verletzung der Dokumentationspflichten aus Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO genügt, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt und dass keine Vereinbarung einer wirksamen Auftragsverarbeitungsvereinbarung im Sinne des Art. 28 DSGVO getroffen wurde (Schriftsatz vom 15,10.2019). 

Dies ist aber nicht Gegenstand seines Antrags.Im Übrigen hat der Antragsteller auch nicht dargelegt, dass die Erfüllung dieser Pflichten ein neues Datenleck vermeiden würde. 

Die Kostenentscheidung beruht auf § 91 ZPO, Die Festsetzung des Streitwertes folgt aus §§ 53 Abs. 1 Nr, 1 GKG, 3 ZPO,