Landgericht München I Urteil, 9. Dez. 2021 - 31 O 16606/20

bei uns veröffentlicht am28.12.2021

Gericht

Landgericht München I

Beteiligte Anwälte

Eingereicht durch

Rechtsanwalt Dirk Streifler - Partner


Wirtschaftsrecht / Existenzgründung / Insolvenzrecht / Gesellschaftsrecht / Strafrecht
EnglischDeutsch

LG München I

Endurteil vom 09.12.2021

Az.: 31 O 16606/20


1. Es wird festgestellt, dass die Beklagte verpflichtet ist, dem Kläger alle materiellen künftigen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten im Zeitraum von April bis Oktober 2020 entstanden sind.

2. Die Beklagte wird verurteilt, an den Kläger einen immateriellen Schadensersatz in Höhe von 2.500, - Euro nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 04.02.2021 zu zahlen.

3. Die Beklagte hat die Kosten des Rechtsstreits zu tragen.

4. Das Urteil ist für Klagepartei gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.

Beschluss:

Der Streitwert wird auf 5.100,00 € festgesetzt.

 

Tatbestand

Der Kläger ist Kunde der Beklagten. Vor dem Eingehen der Geschäftsbeziehung hat der Kläger der Beklagten, ein Finanzdienstleistungsunternehmen, zahlreiche personenbezogene Daten zur Verfügung gestellt. Hinsichtlich der einzelnen Daten wird auf die Klageschrift Seiten 3 und 5 Bezug genommen (vgl. auch Anlage K 2). Außerdem musste er sich mittels Postident-Verfahren legitimieren, wobei sein Personalausweis abfotografiert wurde.

In der Folgezeit nutzte der Kläger sein Kundenkonto für die Geldanlage in Aktien und Wertpapiere. Am 19.10.2020 wurde der Kläger von der Beklagten darüber informiert, dass von unbefugten Dritten unrechtmäßig auf einen Teilbestand der in Ihrem Datenarchiv abgelegten Daten zugegriffen wurde. Von Kläger wurden die folgenden Daten entwendet:

Vor- und Nachname, Anrede, Anschrift, E-Mail-Adresse, Handynummer, Geburtsdatum, -ort und –land, Staatsangehörigkeit, Familienstand, Steuerliche Ansässigkeit und Steuer-ID, IBAN, Ausweiskopie, Portraitfoto, welches im Post-Ident-Verfahren angefertigt wurde.

Der Kläger trägt weiter vor, dass sich aus der strafrechtlichen Ermittlungsakte der Generalstaatsanwaltschaft Bamberg (Az.: 620 UJs 1244/21) entnehmen lässt, dass der Zugriff auf die Kundendaten der Beklagten zu drei unterschiedlichen Zeitpunkten im Jahr 2020 konkret am 15./16.04.2020, am 05./06.08.2020 sowie am 10./11.10.2020 erfolgt ist. Bei jedem dieser Zugriffe wurde ein Teil der insgesamt 389.000 Datensätze der 33.200 betroffenen Personen kopiert und entwendet. Nach dem Vortrag der Beklagten soll der Zugriff auf die Daten des Klägers hingegen am 06.08.2021 erfolgt sein (Schriftsatz vom 29.11.2021 S. 16, Bl. 170 d.A.), wobei dies aber ein Schreibfehler in der Angabe der Jahreszahl sein dürfe, es aber hierauf auch nicht entscheidungserheblich ankommt.

Die Beklagte hatte bei ihrem früheren Dienstleister CodeShip Zugangsinformationen zu ihrem vollständigen IT-System hinterlegt. Der Angreifer verschaffte sich mithilfe dieser Zugangsdaten Zugriff auf einen Teil des Dokumentenarchivs und die darin befindlichen Kundendaten.

Die Vertragsbeziehung zwischen der Beklagten und der Fa. CodeShip wurde Ende 2015 beendet, wobei die Beklagte die Zugangsdaten zu ihrem IT-System, welche der Fa. CodeShip bekannt waren, jedenfalls bis zum streitgegenständlichen Vorfall nicht geändert hat.

Es sei mit Blick auf den Schaden des Klägers nach Einsicht in die Ermittlungsakte der Generalstaatsanwaltschaft Bamberg offenkundig, dass die Täter versucht haben, mit gestohlenen Kundendaten Kredite zu erlangen. Weiterhin ergibt sich aus der Ermittlungsakte, dass die gestohlenen Daten im Darknet angeboten wurden.

Aufgrund dessen ist der Kläger der Ansicht, dass er nunmehr dauerhaft dem Risiko ausgesetzt ist, dass die über ihn erbeuteten Daten für Identitätsdiebstähle, Zugriffsversuche auf von ihm genutzten Online-Dienste oder sonstige Betrugsversuche verwendet werden. So sei es am 27.9.2020 zu insgesamt 10 fehlgeschlagenen Login-Versuchen bei seinem E-Mail-Anbieter gekommen (Anlage K 3).

Der Kläger ist daher der Ansicht, dass ihm deshalb Ansprüche gem. § 82 Abs. 1 DSGVO i.V.m. § 253 BGB zustehen, da die Beklagte seine Daten unter Verstoß gegen Art. 32 DSGVO verarbeitet habe.

Der Kläger beantragt daher:

1. Es wird festgestellt, dass die Beklagte verpflichtet ist, dem Kläger alle materiellen künftigen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten im Zeitraum von April bis Oktober 2020 entstanden sind.

2. Die Beklagte wird verurteilt, an den Kläger ein angemessenes Schmerzensgeld, dessen Höhe in das Ermessen des Gerichts gestellt wird nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen.


Die Beklagte beantragt die Klage abzuweisen.

Hierzu weist sie insbesondere darauf hin, dass sie im Nachgang zum Datenvorfall sämtliche in Betracht kommenden Maßnahmen vorgenommen hat, um einem Missbrauch der Daten ihrer Kunden entgegenzuwirken und den Sachverhalt aufzuklären. Sie kooperierte eng mit den zuständigen Behörden und externen Experten.

Der Kläger habe infolge des Datenvorfalls keinerlei materielle und immaterielle Nachteile erlitten. Es sei auch nicht bekannt, dass andere Kunden der Beklagten missbrauchsbedingt geschädigt worden sind.

Dem Kläger stünden die geltend gemachten Ansprüche aus mehreren Gründen nicht zu.

Der Beklagten würde schon kein Verstoß gegen die Datenschutzgrundverordnung zur Last fallen. Der darlegungs- und beweisbelastete Kläger habe insofern unsubstantiiert und unschlüssig vorgetragen. Der Datenvorfall an sich bedeute keinen Verstoß der Beklagten gegen die DSGVO. Die technischen und organisatorischen Maßnahmen der Beklagten seien angemessen gewesen.

Die Beklagte nutzt für die Abwicklung des gesamten Kundengeschäfts insbesondere eine sichere standardisierte IT-Infrastruktur mit u.a. Applikations- und Datenbankservern, Speicherkapazitäten, Redundanzsystemen und Backup-Lösungen. Die dem Dokumentenarchiv zu Grunde liegende IT-Infrastruktur ist außerdem nach IEC 27001:2013, 27017:2015, 27018:2019, ISO/IEC 9001:2015 und CSA STAR CCM v3.0.1 zertifiziert.

Für den kriminellen Zugriff sei ein von der Beklagten betriebenes Dienstprogramm nicht kompromittiert worden. Man könne daher nicht von einem „Hack“ des Systems der Beklagten sprechen.

Der Angreifer, dessen Identität bislang nicht ermittelt werden konnte, erlangte den Zugriff auf die Kundendokumente im Dokumentenarchiv nicht durch Überwindung der von der Beklagten implementierten IT-Sicherheitssysteme. Vielmehr erfolgte der Zugriff unter Ausnutzung rechtswidrig erlangter Zugangsinformationen. Diese waren offenbar zuvor infolge eines Cyber-Angriffs auf das Unternehmen CodeShip Inc. erlangt worden, das mit Softwaredienstleistungen für die Beklagte beauftragt worden war. Die Beklagte sei demnach ein Kollateralopfer jenes Cyber-Angriffs auf das Drittunternehmen gewesen.

Der Beauftragung von CodeShip durch Scalable ging ein sorgfältiger Auswahl- und Prüfprozess voraus, der unter anderem eine vertiefte inhaltliche Auseinandersetzung mit den Spezifikationen der angebotenen Dienstleistung und den IT-spezifischen Sicherheitsstandards von CodeShip einschloss. Die Bereitstellung der Zugangsinformationen zur digitalen Umgebung der Beklagten an CodeShip war für die Ausführung der Softwaredienstleistungen bereits aus technischer Sicht notwendig, um das externe Deployment-Dienstprogramm an die digitale Umgebung von Scalable anbinden zu können.

Im Übrigen träfe die Beklagte in Bezug auf einen unterstellten DSGVO-Verstoß kein Verschulden. Schließlich bestehe keine Kausalität eines angeblichen DSGVO-Verstoßes für den vermeintlichen Schaden. Hinsichtlich der weiteren Einzelheiten wird auf die Klageerwiderung vom 12.05.2021 Bezug genommen.

Der Feststellungsantrag sei mangels Feststellungsinteresses gemäß § 256 Abs. 1 ZPO unzulässig. Der darlegungs- und beweisbelastete Kläger habe keine Umstände vorgetragen, aus denen sich ergibt, dass der Eintritt materieller Schäden infolge des Datenvorfalls wahrscheinlich ist.

Zur Ergänzung des Tatbestands wird Bezug genommen auf die gewechselten Schriftsätze nebst Anlagen sowie auf das Sitzungsprotokoll.

Die Wiedereröffnung der Verhandlung aufgrund des Schriftsatzes der Beklagten vom 29.11.2021 war nicht veranlasst (§ 156 ZPO). Die darin enthaltenen Ausführungen wurden vom Gericht berücksichtigt, sind aber letztlich nicht entscheidungserheblich.

 

Gründe

Die Klage ist zulässig, wobei sich die örtliche Zuständigkeit des LG München aus §§ 44 Abs. 1 S. 1 DSGVO, § 12 ZPO ergibt.

Hinsichtlich des Feststellungsantrages ist auch das gem. § 256 Abs. 1 ZPO erforderliche Feststellungsinteresse zu bejahen, da die Möglichkeit besteht, dass weitere Schäden durch die Verwendung der illegal erlangten Daten entstehen. Dies wäre nur dann nicht gegeben, wenn aus Sicht des Klägers bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen (vgl. Bacher BeckOK ZPO, Vorwerk/Wolf 42. Edition Stand: 01.09.2021 § 256 Rn. 24). Aber gerade bei einem solch umfangreichen Datenabgriff ist bei lebensnaher Betrachtung davon auszugehen, dass dies nicht ohne eine bestimmte, und zwar illegale Absicht erfolgt ist.

Die Klage ist auch begründet.

Der Kläger hat gegenüber der Beklagten einen Anspruch auf Zahlung von 2.500, - Euro gem. § 82 Abs. 1 DSGVO als immateriellen Schadensersatz.

Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Nach § 82 Abs. 3 DSGVO trägt die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen. Dem Verletzten obliegt es daher auch, den Datenschutzverstoß zu beweisen. Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. Hierauf kann jedoch eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden (Quaas BeckOK Datenschutzrecht, Wolff/Brink; 36. Edition Stand: 01.05.2021 § 82 Rn. 51; 9 U 34/21 OLG Stuttgart Urteil vom 31.03.2021; LG Frankfurt vom 18.01.2021 – 2-30 O 147/20).

Im Hinblick auf die Frage des Datenschutzverstoßes verlangt Art. 32 DSGVO (Sicherheit der Verarbeitung) geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) entnommen werden.

Insbesondere nennt der Erwägungsgrund 39 als geforderte Maßnahmen, dass gewährleistet ist, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Die Anlage zu § 9 BDSG 2003 listete technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 lit. f eingesetzt werden können.

Unter Zugrundelegung dieser Vorgaben hat die Beklagte einen Datenschutzverstoß begangen.

Hierbei kann dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen zugerechnet werden können. Denn die Beklagte hat selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DSGVO).

So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen CodeShip nach Beendigung der Geschäftsbeziehung nicht geändert hat. Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens CodeShip gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen. Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn – wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden.

Sofern die Beklagte ausweislich Ihres Schreibens vom 19.10.2020 nach dem Vorfall umgehend alle erforderlichen Maßnahmen ergriffen hat, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen, so ist es – entgegen der Ansicht des Beklagten - nicht als unzumutbar anzusehen, dass dies bereits unmittelbar nach Beendigung der Geschäftsbeziehung mit dem Unternehmen CodeShip hätte getan werden können. Auch wenn dies einen gewissen Aufwand erfordert hätte – und jetzt ja auch erfordert hat, kann dies keine Berechtigung dafür sein, die Daten der Kunden in einem bestimmten Bereich der Gefährdung durch einen (möglichen) unerlaubten Zugriff von außen ausgesetzt sein zu lassen.

Wenn die Beklagte außerdem betont, dass es sich bei CodeShip um ein unabhängiges Unternehmen handelt, dessen etwaige Unzulänglichkeiten ihr daher von vornherein nicht zugerechnet werden können, ist dies unerheblich. Denn es LAG eben auch eine Unzulänglichkeit auf Seiten der Beklagten bzw. ein eigener DSGVO-Verstoß vor, und gerade die seitens der Beklagten vorgetragene fehlende rechtliche und tatsächliche Möglichkeit, den Löschungsprozess bei CodeShip zu beaufsichtigen, zu kontrollieren oder anzuweisen erforderte auf Seiten der Beklagten die Vornahme entsprechender eigener Sicherungsmaßnahmen.

Es liegt auch die erforderliche Kausalität zwischen dem „DSGVO-Verstoß“ und dem „Schaden“ vor. Art. 82 Abs. 1 DSGVO verlangt, dass der Schaden infolge eines konkreten DSGVO-Verstoßes eintritt. Es genügt zwar nicht, dass ein Schaden bloß auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen war (OLG Stuttgart, Urteil vom 31. März 2021, Az. 9 U 34/21, S. 8, Anlage B 2; Paal, MMR 2020, 14, 17 m.w.N.), vorliegend beruht der Schaden aber nicht nur auf eine solche Verarbeitung. Es ist davon auszugehen, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre (vgl. Quaas, in: BeckOK Datenschutzrecht, Wolff/Brink, 33. Ed., 01.08.2020, Art. 82 DSGVO Rn. 51; 26 - Mitursächlichkeit genügt).

Sofern die Beklagte das Urteil das LG München I vom 02.09.2021, 23 O 10931/20 angeführt, sprechen dessen Entscheidungsgründe gerade dafür, dass im vorliegenden Fall ein Schaden gegeben ist. So weist das Landgericht zutreffend darauf hin, dass nach Art. 82 DS-GVO auch ein durch einen Verstoß gegen die Verordnung entstandener immaterieller Schaden ersetzt werden kann sowie dass in den Erwägungsgründen (Nr. 75) (insbesondere) auch Nichtvermögensschäden durch Diskriminierung, Indentitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder gesellschaftliche Nachteile genannt sind (Vgl. BeckOK Datenschutz/Quaas DSGVO Art. 82 Rz. 23). Im dortigen Verfahren hat das Gericht seine Entscheidung insbesondere darauf gestützt, dass der Kläger sich darauf beschränkt hat, vorzutragen, sein Schaden bestehe im Verlust der Kontrolle über seine Daten (was aber auch im Erwägungsgrund Nr. 75 genannt ist!). Während dort ein Angriff auf den Account der E-Mail-Adresse zugrunde liegt, sind im vorliegenden Fall wesentlich umfangreichere und sensiblere Daten abgegriffen worden. Entgegen der Ansicht des LG Essen, Urteil vom 23.9.2021 – 6 O 190/21 liegt darin eine nicht nur „unbedeutende oder empfundene Verletzung von Persönlichkeitsrechten“. Im Übrigen erwähnt das LG Essen auch, dass ein Schmerzensgeldanspruch nach Art. 82 DS-GVO nicht auf schwere Schäden beschränkt ist, sodass sich ein genereller Ausschluss von Bagatellfällen verbietet. Das Gericht geht zudem offensichtlich (und zutreffend) auch davon aus, dass ein Identitätsdiebstahl für einen Schmerzensgeldanspruch ausreichen würde.

Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren. Denn nur so wäre eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet (Wybitul/Haß/Albrecht: NJW 2018, 113, beck-online; vgl. auch Korch, NJW 2021, 978 – „Aus Erwägungsgrund 146 S. 3 ergibt sich, dass der Begriff des Schadens weit zu verstehen ist“).

Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet.

So hat die Beklagte mit Schreiben vom 19.10.2020 (Anlage K 7) den betroffenen Kunden, somit auch dem Kläger mitgeteilt, dass die folgenden Daten von dem Vorfall betroffen sind wie „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“ und dass der Versuch unternommen werden könnte, Dritte mit der Identität des Kunden zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch).

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten (vgl. Quaas BeckOK Datenschutzrecht, Wolff/Brink 37. Edition Stand: 01.08.2021 Rn. 31), wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31).

Allerdings muss bei der Bemessung der Höhe des immateriellen Schadensersatzes berücksichtigt werden, dass die streitgegenständlichen Daten offensichtlich bislang noch nicht, jedenfalls nicht zu Lasten des Klägers missbraucht worden sind und von daher allenfalls eine mehr oder weniger hohe Gefährdung angenommen werden kann. Berücksichtigt werden muss jedoch auch – wie oben angesprochen – die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes. Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht einen (immateriellen) Schadensersatz in Höhe von 2.500, - Euro als angemessen.

Sofern die Beklagte meint, es sei eine Vorabentscheidung des EuGH zwingend erforderlich, was jüngst das BVerfG, Beschluss von 14.1.2021 – 1 BvR 2853/19 festgestellt hat, so übersieht sie Art. 267 Abs. 3 AEUV. Während nämlich bei dem, der genannten Entscheidung zugrunde liegenden Sachverhalt weder die Berufungsbeschwer erreicht war, noch das Amtsgericht die Berufung zugelassen hatte, ist diese vorliegend unzweifelhaft gegeben (vgl. § 511 Abs. 1, 2 Ziff. 1 ZPO), so dass keine letztinstanzliche Entscheidung gegeben ist.

Der Zinsanspruch ergibt sich aus §§ 291, 288 Abs.1 BGB.

Kosten §§ 91 Abs. 1, 92 Abs. 2 Ziff. 2 ZPO; vorläufige Vollstreckbarkeit § 709 ZPO; Streitwert: §§ 3, 5 ZPO, wobei sich das Gericht an der Streitwertvorgabe des Klägers in der Klageschrift orientiert hat.

Urteilsbesprechungen zu Landgericht München I Urteil, 9. Dez. 2021 - 31 O 16606/20

1 Urteilsbesprechungen zu Landgericht München I Urteil, 9. Dez. 2021 - 31 O 16606/20

Urteils-Kommentar zu Landgericht München I Urteil, 9. Dez. 2021 - 31 O 16606/20 von Dirk Streifler - Partner

29.12.2021

Das Landgericht München hat einem Nutzer von Scalable Capital Schadensersatz in Höhe von 2 500 Euro zugesprochen. Dieser war von einem Datendiebstahl bei Scalable Capital betroffen und erfuhr dies durch eine Nachricht am 19. Oktober 2020, in der das Finanzunternehmen über ein entstandenes Datenleck informierte. Aufgrund des Datenlecks sind  persönliche Daten von mehr als 33 000 Kunden gehackt und ins Darknet gestellt worden. Betroffene haben nach dem Urteil des Landgerichts München einen entsprechenden Anspruch auf Schadensersatz, weil das Unternehmen versäumt habe, die persönlichen Daten ihrer Kunden ausreichend zu schützen. Sind auch Sie Nutzer von Scalable Capital? Dann nehmen Sie Kontakt zu Streifler&Kollegen auf und lassen Sie sich fachkundig beraten. Wir helfen Ihnen Ihren Schadensersatzanspruch durchzusetzen!

Referenzen - Gesetze

Landgericht München I Urteil, 9. Dez. 2021 - 31 O 16606/20 zitiert 16 §§.

ZPO | § 256 Feststellungsklage


(1) Auf Feststellung des Bestehens oder Nichtbestehens eines Rechtsverhältnisses, auf Anerkennung einer Urkunde oder auf Feststellung ihrer Unechtheit kann Klage erhoben werden, wenn der Kläger ein rechtliches Interesse daran hat, dass das...

ZPO | § 156 Wiedereröffnung der Verhandlung


(1) Das Gericht kann die Wiedereröffnung einer Verhandlung, die geschlossen war, anordnen. (2) Das Gericht hat die Wiedereröffnung insbesondere anzuordnen, wenn 1. das Gericht einen entscheidungserheblichen und rügbaren Verfahrensfehler (§ 295),...

ZPO | § 12 Allgemeiner Gerichtsstand; Begriff


Das Gericht, bei dem eine Person ihren allgemeinen Gerichtsstand hat, ist für alle gegen sie zu erhebenden Klagen zuständig, sofern nicht für eine Klage ein ausschließlicher Gerichtsstand begründet ist.

Referenzen

(1) Die oder der Bundesbeauftragte ist zuständig für die Aufsicht über die öffentlichen Stellen des Bundes, auch soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, sowie über Unternehmen, soweit diese für die geschäftsmäßige Erbringung von Telekommunikationsdienstleistungen Daten von natürlichen oder juristischen Personen verarbeiten und sich die Zuständigkeit nicht bereits aus § 115 Absatz 4 des Telekommunikationsgesetzes ergibt. Die Vorschriften dieses Kapitels gelten auch für Auftragsverarbeiter, soweit sie nichtöffentliche Stellen sind, bei denen dem Bund die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle des Bundes ist.

(2) Die oder der Bundesbeauftragte ist nicht zuständig für die Aufsicht über die von den Bundesgerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

BGB

Dieses Gesetz dient der Umsetzung folgender Richtlinien:

1.
Richtlinie 76/207/EWG des Rates vom 9. Februar 1976 zur Verwirklichung des Grundsatzes der Gleichbehandlung von Männern und Frauen hinsichtlich des Zugangs zur Beschäftigung, zur Berufsbildung und zum beruflichen Aufstieg sowie in Bezug auf die Arbeitsbedingungen (ABl. EG Nr. L 39 S. 40),
2.
Richtlinie 77/187/EWG des Rates vom 14. Februar 1977 zur Angleichung der Rechtsvorschriften der Mitgliedstaaten über die Wahrung von Ansprüchen der Arbeitnehmer beim Übergang von Unternehmen, Betrieben oder Betriebsteilen (ABl. EG Nr. L 61 S. 26),
3.
Richtlinie 85/577/EWG des Rates vom 20. Dezember 1985 betreffend den Verbraucherschutz im Falle von außerhalb von Geschäftsräumen geschlossenen Verträgen (ABl. EG Nr. L 372 S. 31),
4.
Richtlinie 87/102/EWG des Rates zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über den Verbraucherkredit (ABl. EG Nr. L 42 S. 48), zuletzt geändert durch die Richtlinie 98/7/EG des Europäischen Parlaments und des Rates vom 16. Februar 1998 zur Änderung der Richtlinie 87/102/EWG zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über den Verbraucherkredit (ABl. EG Nr. L 101 S. 17),
5.
Richtlinie 90/314/EWG des Europäischen Parlaments und des Rates vom 13. Juni 1990 über Pauschalreisen (ABl. EG Nr. L 158 S. 59),
6.
Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. EG Nr. L 95 S. 29),
7.
Richtlinie 94/47/EG des Europäischen Parlaments und des Rates vom 26. Oktober 1994 zum Schutz der Erwerber im Hinblick auf bestimmte Aspekte von Verträgen über den Erwerb von Teilzeitnutzungsrechten an Immobilien (ABl. EG Nr. L 280 S. 82),
8.
der Richtlinie 97/5/EG des Europäischen Parlaments und des Rates vom 27. Januar 1997 über grenzüberschreitende Überweisungen (ABl. EG Nr. L 43 S. 25),
9.
Richtlinie 97/7/EG des Europäischen Parlaments und des Rates vom 20. Mai 1997 über den Verbraucherschutz bei Vertragsabschlüssen im Fernabsatz (ABl. EG Nr. L 144 S. 19),
10.
Artikel 3 bis 5 der Richtlinie 98/26/EG des Europäischen Parlaments und des Rates über die Wirksamkeit von Abrechnungen in Zahlungs- und Wertpapierliefer- und -abrechnungssystemen vom 19. Mai 1998 (ABl. EG Nr. L 166 S. 45),
11.
Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates vom 25. Mai 1999 zu bestimmten Aspekten des Verbrauchsgüterkaufs und der Garantien für Verbrauchsgüter (ABl. EG Nr. L 171 S. 12),
12.
Artikel 10, 11 und 18 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt ("Richtlinie über den elektronischen Geschäftsverkehr", ABl. EG Nr. L 178 S. 1),
13.
Richtlinie 2000/35/EG des Europäischen Parlaments und des Rates vom 29. Juni 2000 zur Bekämpfung von Zahlungsverzug im Geschäftsverkehr (ABl. EG Nr. L 200 S. 35).

(1) Wegen eines Schadens, der nicht Vermögensschaden ist, kann Entschädigung in Geld nur in den durch das Gesetz bestimmten Fällen gefordert werden.

(2) Ist wegen einer Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung Schadensersatz zu leisten, kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld gefordert werden.

*

(1) Eine Geldschuld ist während des Verzugs zu verzinsen. Der Verzugszinssatz beträgt für das Jahr fünf Prozentpunkte über dem Basiszinssatz.

(2) Bei Rechtsgeschäften, an denen ein Verbraucher nicht beteiligt ist, beträgt der Zinssatz für Entgeltforderungen neun Prozentpunkte über dem Basiszinssatz.

(3) Der Gläubiger kann aus einem anderen Rechtsgrund höhere Zinsen verlangen.

(4) Die Geltendmachung eines weiteren Schadens ist nicht ausgeschlossen.

(5) Der Gläubiger einer Entgeltforderung hat bei Verzug des Schuldners, wenn dieser kein Verbraucher ist, außerdem einen Anspruch auf Zahlung einer Pauschale in Höhe von 40 Euro. Dies gilt auch, wenn es sich bei der Entgeltforderung um eine Abschlagszahlung oder sonstige Ratenzahlung handelt. Die Pauschale nach Satz 1 ist auf einen geschuldeten Schadensersatz anzurechnen, soweit der Schaden in Kosten der Rechtsverfolgung begründet ist.

(6) Eine im Voraus getroffene Vereinbarung, die den Anspruch des Gläubigers einer Entgeltforderung auf Verzugszinsen ausschließt, ist unwirksam. Gleiches gilt für eine Vereinbarung, die diesen Anspruch beschränkt oder den Anspruch des Gläubigers einer Entgeltforderung auf die Pauschale nach Absatz 5 oder auf Ersatz des Schadens, der in Kosten der Rechtsverfolgung begründet ist, ausschließt oder beschränkt, wenn sie im Hinblick auf die Belange des Gläubigers grob unbillig ist. Eine Vereinbarung über den Ausschluss der Pauschale nach Absatz 5 oder des Ersatzes des Schadens, der in Kosten der Rechtsverfolgung begründet ist, ist im Zweifel als grob unbillig anzusehen. Die Sätze 1 bis 3 sind nicht anzuwenden, wenn sich der Anspruch gegen einen Verbraucher richtet.

Eine Geldschuld hat der Schuldner von dem Eintritt der Rechtshängigkeit an zu verzinsen, auch wenn er nicht im Verzug ist; wird die Schuld erst später fällig, so ist sie von der Fälligkeit an zu verzinsen. Die Vorschriften des § 288 Abs. 1 Satz 2, Abs. 2, Abs. 3 und des § 289 Satz 1 finden entsprechende Anwendung.

Eisenbahn-Unfalluntersuchungsverordnung - EUV

Diese Verordnung dient der Umsetzung der Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates vom 29. April 2004 über Eisenbahnsicherheit in der Gemeinschaft und zur Änderung der Richtlinie 95/18/EG des Rates über die Erteilung von Genehmigungen an Eisenbahnunternehmen und der Richtlinie 2001/14/EG über die Zuweisung von Fahrwegkapazität der Eisenbahn, die Erhebung von Entgelten für die Nutzung von Eisenbahninfrastruktur und die Sicherheitsbescheinigung (ABl. EU Nr. L 164 S. 44, Nr. L 220 S. 16), zuletzt geändert durch die Richtlinie 2004/50/EG des Europäischen Parlaments und des Rates vom 29. April 2004 (ABl. EU Nr. L 164 S. 114, Nr. L 220 S. 40), sowie der Umsetzung der Richtlinie 96/48/EG des Rates über die Interoperabilität des transeuropäischen Hochgeschwindigkeitsbahnsystems vom 23. Juli 1996 (ABl. EG Nr. L 235 S. 6) und der Richtlinie 2001/16/EG des Europäischen Parlaments und des Rates über die Interoperabilität des konventionellen Eisenbahnsystems vom 19. März 2001 (ABl. EG Nr. L 110 S. 1), jeweils zuletzt geändert durch die Richtlinie 2004/50/EG des Europäischen Parlaments und des Rates vom 29. April 2004 (ABl. EU Nr. L 164 S. 114, Nr. L 220 S. 40).

Lastenausgleichsgesetz - LAG

Der Wert wird von dem Gericht nach freiem Ermessen festgesetzt; es kann eine beantragte Beweisaufnahme sowie von Amts wegen die Einnahme des Augenscheins und die Begutachtung durch Sachverständige anordnen.

Mehrere in einer Klage geltend gemachte Ansprüche werden zusammengerechnet; dies gilt nicht für den Gegenstand der Klage und der Widerklage.

Das Gericht, bei dem eine Person ihren allgemeinen Gerichtsstand hat, ist für alle gegen sie zu erhebenden Klagen zuständig, sofern nicht für eine Klage ein ausschließlicher Gerichtsstand begründet ist.

(1) Das Gericht kann die Wiedereröffnung einer Verhandlung, die geschlossen war, anordnen.

(2) Das Gericht hat die Wiedereröffnung insbesondere anzuordnen, wenn

1.
das Gericht einen entscheidungserheblichen und rügbaren Verfahrensfehler (§ 295), insbesondere eine Verletzung der Hinweis- und Aufklärungspflicht (§ 139) oder eine Verletzung des Anspruchs auf rechtliches Gehör, feststellt,
2.
nachträglich Tatsachen vorgetragen und glaubhaft gemacht werden, die einen Wiederaufnahmegrund (§§ 579, 580) bilden, oder
3.
zwischen dem Schluss der mündlichen Verhandlung und dem Schluss der Beratung und Abstimmung (§§ 192 bis 197 des Gerichtsverfassungsgesetzes) ein Richter ausgeschieden ist.

(1) Auf Feststellung des Bestehens oder Nichtbestehens eines Rechtsverhältnisses, auf Anerkennung einer Urkunde oder auf Feststellung ihrer Unechtheit kann Klage erhoben werden, wenn der Kläger ein rechtliches Interesse daran hat, dass das Rechtsverhältnis oder die Echtheit oder Unechtheit der Urkunde durch richterliche Entscheidung alsbald festgestellt werde.

(2) Bis zum Schluss derjenigen mündlichen Verhandlung, auf die das Urteil ergeht, kann der Kläger durch Erweiterung des Klageantrags, der Beklagte durch Erhebung einer Widerklage beantragen, dass ein im Laufe des Prozesses streitig gewordenes Rechtsverhältnis, von dessen Bestehen oder Nichtbestehen die Entscheidung des Rechtsstreits ganz oder zum Teil abhängt, durch richterliche Entscheidung festgestellt werde.

(1) Ist unter den Parteien streitig, ob ein Schaden entstanden sei und wie hoch sich der Schaden oder ein zu ersetzendes Interesse belaufe, so entscheidet hierüber das Gericht unter Würdigung aller Umstände nach freier Überzeugung. Ob und inwieweit eine beantragte Beweisaufnahme oder von Amts wegen die Begutachtung durch Sachverständige anzuordnen sei, bleibt dem Ermessen des Gerichts überlassen. Das Gericht kann den Beweisführer über den Schaden oder das Interesse vernehmen; die Vorschriften des § 452 Abs. 1 Satz 1, Abs. 2 bis 4 gelten entsprechend.

(2) Die Vorschriften des Absatzes 1 Satz 1, 2 sind bei vermögensrechtlichen Streitigkeiten auch in anderen Fällen entsprechend anzuwenden, soweit unter den Parteien die Höhe einer Forderung streitig ist und die vollständige Aufklärung aller hierfür maßgebenden Umstände mit Schwierigkeiten verbunden ist, die zu der Bedeutung des streitigen Teiles der Forderung in keinem Verhältnis stehen.

Andere Urteile sind gegen eine der Höhe nach zu bestimmende Sicherheit für vorläufig vollstreckbar zu erklären. Soweit wegen einer Geldforderung zu vollstrecken ist, genügt es, wenn die Höhe der Sicherheitsleistung in einem bestimmten Verhältnis zur Höhe des jeweils zu vollstreckenden Betrages angegeben wird. Handelt es sich um ein Urteil, das ein Versäumnisurteil aufrechterhält, so ist auszusprechen, dass die Vollstreckung aus dem Versäumnisurteil nur gegen Leistung der Sicherheit fortgesetzt werden darf.