OLG Stuttgart Urteil vom 31.03.2021 - 9 U 34/21

Verfahrensgang

LG Stuttgart (Aktenzeichen 14 O 273/20)

Tenor

1. Die Berufung der Klägerin gegen das Urteil des Landgerichts Stuttgart vom 11.11.2020, Az. 14 O 273/20, wird zurückgewiesen.

2. Die Klägerin hat die Kosten des Berufungsverfahrens zu tragen.

3. Dieses Urteil sowie das in Ziffer 1 genannte Urteil des Landgerichts Stuttgart sind ohne Sicherheitsleistung vorläufig vollstreckbar. Die Klägerin kann die Vollstreckung durch die Beklagte gegen Sicherheitsleistung in Höhe von 120 % des insgesamt für die Beklagte vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 120 % des jeweils zu vollstreckenden Betrages leistet.

4. Die Revision gegen dieses Urteil wird zugelassen.

Gründe

I. Die Klägerin begehrt von der Beklagten die Zahlung von Schmerzensgeld.

Die Beklagte ist die europäische Tochtergesellschaft eines Anbieters von Zahlungskarten. Sie schloss mit der Klägerin, die eine Xcard nutzt, einen Vertrag über ein Bonusprogramm ab, bei dem Kunden durch den Einsatz der Kreditkarte Punkte sammeln und gegen Prämien einlösen konnten. Infolge eines *Hackerangriffs am 19.08.2019 am 19.08.2019 bemerkten Hackerangriffs wurden personenbezogene Daten der Klägerin von Dritten abgegriffen und im Internet veröffentlicht. Im Vorfeld der Klage, mit der die Klägerin im Wege der Stufenklage zunächst Auskunft begehrte, wurde zwischen den Parteien umfangreicher Schriftverkehr geführt. Die Beklagte lehnte eine Beauskunftung zunächst wegen Nichtvorlage einer Vollmacht des anwaltlichen Vertreters der Klägerin ab.

Hinsichtlich des weiteren Sachverhalts wird auf die tatbestandlichen Feststellungen in der angefochtenen Entscheidung Bezug genommen (§ 540 Abs. 1 Nr. 1 ZPO).

Das Landgericht hat die Klage abgewiesen. Soweit die Klägerin eine Auskunft bezüglich der bei der Beklagten verarbeiteten "personenbezogenen Daten" begehre (Antrag Ziff. 1 a aa), sei die Klage unzulässig, weil unbestimmt, zumal sie bereits mit Schreiben vom 18.05.2020 (Anlage B 8) verschiedene Auskünfte erhalten habe. Das lasse überdies das Rechtsschutzbedürfnis entfallen. Im Übrigen sei die Klage mangels Bestehens eines Auskunftsanspruchs unbegründet. Das Klagebegehren sei von der Beklagten jedenfalls mit Schreiben vom 12.10.2020 (Anlage B 17) erfüllt worden. Bezüglich der Anträge Ziff. 1 a bb und 1 a cc (Mitteilung der abgegriffenen Daten und ob die Kreditkartenprüfziffer betroffen sei) fehle es an einem Rechtsschutzbedürfnis der Klägerin. Hier seien die entsprechenden Auskünfte der Klägerin bereits vorprozessual mit dem Schreiben vom 22.08.2019 (Anlage K 1), das nicht lediglich eine unverbindliche Einschätzung der Beklagten zum Inhalt gehabt habe, erteilt worden. Unzulässig seien schließlich die Anträge Ziff. 1 a dd bis gg, weil die Klägerin damit nur grundsätzliche Informationen erhalten wolle, die die allgemeine Prozessführung erleichtern solle.

Gegen die mit einem Kostenausspruch versehene und als "Urteil" bezeichnete Entscheidung wendet sich die Klägerin mit der Berufung, in der sie die Auskunftsanträge und den Antrag auf Versicherung an Eides statt für erledigt erklärt hat. Sie trägt vor und ist der Ansicht, das Landgericht hätte die Klage nicht vollständig abweisen, sondern sich näher mit dem Leistungsantrag auseinandersetzen müssen.

Was das Auskunftsbegehren anbelange, sei der Antrag hinreichend bestimmt gewesen. Die Auskünfte seien von der Beklagten nicht mit der E-Mail vom 22.08.2019 erteilt worden. Dort sei nur davon die Rede gewesen, dass die Daten der Klägerin von dem Hackerangriff betroffen sein könnten. Eine definitive Aussage sei also nicht gemacht worden. Eine gleichlautende E-Mail sei an alle Kunden verschickt worden. Es habe sich allein um eine Art "ad hoc"-Warnung gehandelt. Das vollständige Ausmaß des Datendiebstahls sei erst mit der Auskunft vom 22.10.2020 klar geworden.

Der Leistungsantrag der Klägerin sei aufgrund des Art. 82 DS-GVO begründet. Das Landgericht hätte ihn nicht weitgehend unkommentiert abweisen dürfen. Haftungsgrund seien zwei DS-GVO-Verstöße der Beklagten. Zum einen sei die Beklagte dem Auskunftsbegehren der Beklagten (Art. 15 DS-GVO) zu spät nachgekommen. Gemäß Art. 12 Abs. 3 S. 1 DS-GVO sei eine unverzügliche Beauskunftung geschuldet, die spätestens innerhalb eines Monats erfolgen solle. Die Beklagte sei dem Auskunftsverlangen aber erst nach Klageerhebung nachgekommen. Soweit sie zuvor wegen Nichtvorlage einer Vollmacht des anwaltlichen Vertreters die Auskunft verweigert habe, habe dazu kein Grund bestanden. Der Klägerin sei hieraus ein Schaden entstanden. Hierzu nimmt die Klägerin Bezug auf Gerichtsentscheidungen (Berufungsbegründung S. 8). Ein Schmerzensgeld von 1.000 EUR sei angemessen. Zum anderen habe die Beklagte es "offensichtlich" versäumt, geeignete und dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz vor Datendiebstählen zu ergreifen. Der sog. PCI-DSS-Standard sei nicht eingehalten worden. Dies habe den Zugriff von Dritten ermöglich...