Skip to content

LG München: Kein Anspruch gegen Kreditkartenunternehmen auf Unterlassung rechtswidriger nicht den Vorgaben der DSGVO entsprechender Datenverarbeitung

LG München
Urteil vom 07.11.2019
34 O 13123/19


Das LG München hat entschieden, dass kein individueller Anspruch des Kreditkartenkunden gegen das Kreditkartenunternehmen auf Unterlassung rechtswidriger nicht den Vorgaben der DSGVO entsprechender Datenverarbeitung besteht.

Aus den Entscheidungsgründen:

Der Antrag auf Erlass einer einstweiligen Verfügung ist weder zulässig noch begründet.

I. Der Antrag des Verfügungsklägers erfüllt nicht die Anforderungen des in § 253 Abs. 2 Nr. 2 ZPO verankerten Bestimmtheitserfordernisses. Erforderlich ist ein bestimmter Antrag. Er muss -aus sich heraus verständlich - Art (Leistung, Feststellung, Gestaltung) und Umfang des begehrten Rechtsschutzes nennen und ist damit ein wesentliches Element zur Bestimmung des Streitgegenstandes. Nach der Rechtsprechung des Bundesgerichtshofs (vgl. BGH NJW 1999, 954; NJW 2003, 668, 669; BGH NJW 2013, 1367 Rn. 12; NJW 2016, 317 Rn. 8ff.; NJW 2016, 708 Rn. 8ff.; s. a. BGH NJW 2008, 1384, 1385) ist ein Klageantrag im Allgemeinen dann hinreichend bestimmt, wenn er den erhobenen Antrag konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Prüfungsmaßstab für die hinreichende Bestimmtheit ist demnach immer die Eignung des Urteils für die Vollstreckung. Der Verfügungskläger beantragt, es „zu unterlassen, die Plattform Priceless Specials zu betreiben, ohne die Sicherheitsmaßnahmen des PCI DSS-Standards einzuhalten, insbesondere die Plattform beim Bekanntwerden von Sicherheitslücken weiter zu betreiben.“

Dieser Antrag ist - auch nach Abänderung des Antrags in der mündlichen Verhandlung - nicht hinreichend bestimmt, da es an einem vollstreckungsfähigen Inhalt mangelt. Das zu unterlassende Verhalten ist nicht so konkret bezeichnet, dass die Verfügungsbeklagte ihr Risiko erkennen und ihr Verhalten darauf einrichten könnte. Die Verfügungsbeklagte müsste absehen können, wann eine Vollstreckungshandlung aufgrund einer Zuwiderhandlung droht. Dies ist vorliegend nicht der Fall. Die Problematik ausreichender Bestimmtheit ist bei Unterlassungsanträgen parallel zu der Frage der Vollstreckbarkeit des jeweils geschaffenen Titels nach § 890 ZPO zu beantworten. Sowohl hinsichtlich des Antrags nach § 253 Abs. 2 Nr. 2 ZPO als auch bezogen auf § 890 Abs. 1 ZPO muss die Verfügungsbeklagte erkennen können, welche Leistung sie zu erbringen hat.

Zwar muss der Verfügungsbeklagten als potentielle Störerin grundsätzlich die Wahl zwischen mehreren Möglichkeiten der Beseitigung offen bleiben, jedoch muss durch den Antrag weiterhin dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO Rechnung getragen werden. Ein unbestimmter Tenor wäre nicht vollstreckbar. Diesem Erfordernis ist der Antragsteller nicht hinreichend nachgekommen. Aus dem Antrag ist nicht hinreichend ersichtlich, welche Maßnahmen die Verfügungsbeklagte konkret zur Erfüllung ihrer Pflicht zu ergreifen hat. Ohne eine solche Konkretisierung ist für die Verfügungsbeklagte aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde. Die Grenzen sind für sie in keiner Weise ersichtlich. Die ausreichende Bestimmtheit des Antrags ergibt sich auch nicht aus dem PCI DSS-Standard. Der PCI DSS enthält durchaus Anforderungen an die Sicherheitsstandards für Kreditkartendaten. Gegenstand des Antrags sind jedoch nicht bestimmte Anforderungen des PCI DSS, gegen die die Verfügungsbeklagte verstoßen haben soll und die zu dem Sicherheitsvorfall geführt haben sollen. Demzufolge fehlt es an der erforderlichen und zumutbaren Konkretisierung. Darüber hinaus ist für das Vollstreckungsgericht - auch angesichts des umfassenden Regelwerks des PCI DSS-Standards - nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Verfügungsbeklagten veranlasst werden müssten.
II.

Des Weiteren fehlt vorliegendem Antrag das Rechtsschutzbedürfnis, da der Verfügungskläger die Möglichkeit hat, der maschinellen Verarbeitung seiner Daten durch die Verfügungsbeklagte zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden. Nach Ansicht des Gerichts kann der Verfügungskläger mit den Ausführungen, dass die „Hau doch ab, wenn's dir nicht passt!“-Argumentation der Verfügungsbeklagten der Tatsache nicht gerecht werde, dass der Verfügungskläger ein Interesse daran haben dürfe, die Vorzüge des Bonusprogramms der Verfügungsbeklagten weiterhin zu nutzen und dass es allein Aufgabe der Verfügungsbeklagten sei, die gesetzlich vorgesehenen Maßnahmen zu ergreifen, um eine sichere Verarbeitung der Daten des Verfügungsklägers zu gewährleisten, nicht durchdringen. Seitens des Gerichts kann schon nicht nachvollzogen werden, weshalb der Verfügungskläger, der der Verfügungsbeklagten als seiner Vertragspartnerin offensichtlich nicht mehr das nötige Vertrauen entgegenbringt, dass diese die hohen Sicherheitsstandards einhält, trotzdem die Vertragsbeziehungen aufrechterhalten will. Unabhängig davon ist zwingende Prozessvoraussetzung ein allgemeines Rechtsschutzinteresse oder Rechtsschutzbedürfnis, d.h. ein schutzwürdiges Interesse an der gerichtlichen Geltendmachung des eingeklagten Rechts. Das Rechtsschutzbedürfnis kann fehlen, wenn das verfolgte Begehren auf einem einfacheren Weg zu erlangen ist (BGH NJW-RR 2010, 19). Dies ist vorliegend der Fall: Die Möglichkeit, der maschinellen Verarbeitung seiner Daten zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden, wäre der einfachere Weg für den Verfügungskläger, seine Bedenken im Hinblick auf die Verarbeitung seiner personenbezogenen Daten auszuräumen. Mit diesem schnelleren und billigeren Mittel des Rechtsschutzes lässt sich vergleichbar sicher oder wirkungsvoll das erforderliche Rechtsschutzziel - der Schutz der Daten des Verfügungsklägers - herbeiführen.
III.

Darüber hinaus ist der Antrag auch unbegründet. Begründet ist der Antrag auf Erlass einer einstweiligen Verfügung, wenn der Verfügungskläger einen Verfügungsanspruch und einen Verfügungsgrund schlüssig behauptet und glaubhaft macht. Ein Verfügungsgrund liegt vor, wenn durch die Änderung eines bestehenden Zustands die Verwirklichung eines Rechts des Antragstellers vereitelt oder wesentlich erschwert werden könnte. Es kommt darauf an, ob Umstände vorliegen, die nach dem Urteil eines objektiven, vernünftigen Menschen befürchten lassen, dass die Anspruchsverwirklichung durch die Veränderung der gegebenen Umstände vereitelt oder wesentlich erschwert werden könnte. In Betracht kommt etwa eine bevorstehende Rechtsverletzung. Glaubhaft gemacht werden Verfügungsanspruch und Verfügungsgrund nach § 294 ZPO. Der erforderliche Grad an Gewissheit ist bereits erreicht, wenn sich aus dem Vortrag des Antragstellers die überwiegende Wahrscheinlichkeit dafür ergibt, dass sie zutrifft (BGH NJW 03, 3558).

1. Vorliegend fehlt es bereits an einem Verfügungsanspruch. Das Recht auf Unterlassung rechtswidriger Datenverarbeitung ist nicht als solches in der Datenschutz-Grundverordnung verankert. Diese konkretisiert zwar das primärrechtlich verbürgte Recht auf Schutz persönlicher Daten, aber eben nur, soweit sie die Ausprägungen dieses Rechts normiert. Die bloße verordnungswidrige Datenverarbeitung stellt gerade noch keine Rechtsverletzung dar (vgl. hierzu Kreßeydow, Europäische Datenschutzverordnung 2. Auflage 2018, Rn. 10 ff.; BeckOK Datenschutzrecht, Wolff/Brink, Art. 82 Rn. 11 f.; Spindler/Schuster, Recht der elektronischen Medien, 4. Auflage 2019, Rn. 7 ff.).

Ein Anspruch aus § 1004 BGB ist nicht hinreichend glaubhaft gemacht. Voraussetzung des Unterlassungsanspruchs ist das Vorliegen einer Beeinträchtigungsgefahr. Diese ist entweder Wiederholungsgefahr, wenn es in der Vergangenheit bereits zu einer Beeinträchtigung gekommen ist, oder Erstbegehungsgefahr, wenn aufgrund objektiver Umstände eine erstmalige Beeinträchtigung unmittelbar bevorsteht. Nach dem Vortrag des Verfügungsklägers lässt sich vorliegend eine Glaubhaftmachung weder im Hinblick auf eine Wiederholungs- noch auf eine Erstbegehungsgefahr ableiten. Bereits nach dem Vortrag des Verfügungsklägers ist es in der Vergangenheit nicht zu einer vollendeten Beeinträchtigung gekommen, demzufolge eine Vermutung der Wiederholungsgefahr schon nicht in Betracht kommt. Des Weiteren hat die Verfügungsbeklagte hinreichend dargelegt und glaubhaft gemacht, welche Maßnahmen sie nach Bekanntwerden des Vorfalls ergriffen hat. Dass diese Maßnahmen unzureichend wären, zeigt der Verfügungkläger nicht auf - insbesondere auch nicht, was seitens der Verfügungsbeklagten noch veranlasst wäre. Die Verfügungsbeklagte hat glaubhaft gemacht, dass die streitgegenständliche Plattform nicht mehr in Betrieb ist (Anlage AG 22). Daran ändert auch der Umstand nicht, dass sie unstreitig zwischenzeitlich wieder kurzfristig über die Internetseite der „…“ online war. Die Verfügungsbeklagte hat diese für einen begrenzten Zeitraum bestehende Erreichbarkeit mit der forensischen Untersuchung und diesbezüglichen IT-Checks erklärt. Eine Wiederholung des streitgegenständlichen Datenlecks würde voraussetzen, dass sich die Verfügungsbeklagte nicht nur entscheidet, dass die Plattform wieder online gestellt wird, sondern auch, dass die Plattform unverändert wieder online stellt, ohne irgendwelchen weiteren Sicherheitsmaßnahmen zu ergreifen. Das Vorliegen einer Wiederholungsgefahr ergibt sich auch nicht aus dem Vortrag des Verfügungsklägers, dass die Internetseite „Priceless Specials“ bereits unter einer anderen URL wieder erreichbar sei. Die Verfügungsbeklagte hat in diesem Zusammenhang glaubhaft gemacht, dass es sich hierbei um eine reine Testumgebung ohne Zugriff auf personenbezogene Daten von „Priceless Specials“-Nutzern handelt. Der Verfügungskläger konnte auf Nachfrage des Gerichts im Rahmen der mündlichen Verhandlung insbesondere schon keine Angaben dazu machen, ob unter der von ihm genannten URL eine Anmeldung mit seinen bisherigen Login-Daten möglich ist.

2. Darüber hinaus steht dem Verfügungskläger auch kein Verfügungsgrund zu.

Ein Verfügungsgrund besteht nach § 935 ZPO, wenn zu besorgen ist, dass durch eine Veränderung des bestehenden Zustandes die Verwirklichung des Rechtes einer Partei vereitelt oder wesentlich erschwert werden könnte (sog. Sicherungsverfügung) bzw. nach § 940 ZPO, wenn in Bezug auf ein streitiges Rechtsverhältnis die Regelung zur Abwendung wesentlicher Nachteile oder zur Verhinderung drohender Gewalt oder aus anderen Gründen nötig erscheint (sog. Regelungsverfügung). Über den Wortlaut der §§ 935, 940 ZPO hinaus lässt die Rechtsprechung jedoch ausnahmsweise eine sog. Leistungs- oder Befriedigungsverfügung zu, deren Inhalt auf die (vollständige oder teilweise) Befriedigung des Verfügungsanspruchs gerichtet ist.

Um eine solche geht es dem Verfügungskläger hier, da sein als Unterlassungsantrag formuliertes Begehren nicht lediglich auf eine zukünftige Untätigkeit der Verfügungsbeklagten, sondern auf ein Verhalten gerichtet ist, welches den Nichteintritt einer aus Sicht des Antragstellers (erneut) drohenden Beeinträchtigung seines Allgemeinen Persönlichkeitsrechts bewirkt, insbesondere die Vornahme von (im Einzelnen nicht konkretisierten) Sicherungsmaßnahmen. Dabei geht es dem Verfügungskläger offensichtlich nicht um eine Hilfestellung bei der Eindämmung der aus dem bereits erfolgten Datenverlust resultierenden Gefahren und auch nicht um die Abwehr einer sich konkret abzeichnenden Wiederholungsgefahr. Inhaltlich stellt dies nichts anderes dar als das Begehren einer ordnungsgemäßen Vertragsdurchführung in ihrer gesamten Weite.

Eine Leistungsverfügung kann aber ganz generell nur in engen Ausnahmefällen zugelassen werden, weil sie letztlich über den gesetzlichen Wortlaut der §§ 935, 940 ZPO hinausgeht und dabei im Rahmen eines nur summarischen Verfahrens dem Verfügungskläger bereits all das gewährt, was er auch nach Durchführung eines Hauptsacheverfahrens erreichen könnte. Um diese strengen Voraussetzungen zu erfüllen, muss der Verfügungskläger im Einzelfall darlegen und glaubhaft machen, dass er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen ist und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten, soweit nach Art des Anspruchs überhaupt möglich, oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist (Zöller/Vollkommer, ZPO, 32. Aufl., § 940 Rn 6 m. w. N.). Dabei ist nicht nur die Frage zu stellen, ob die geschuldete Leistung nur innerhalb eines bestimmten Zeitraums vorgenommen werden kann und die rechtzeitige Erwirkung eines (Hauptsache-)Titels im Klageverfahren für diesen bestimmten Zeitraum nicht möglich ist. Vielmehr muss insgesamt eine Interessenabwägung durchgeführt werden, da dem Interesse des Verfügungsklägers an der Gewährung effektiven Rechtsschutzes vielfach das nicht weniger schutzwürdige Interesse der Verfügungsbeklagten gegenübersteht, nicht in einem mit nur eingeschränkten Erkenntnis- und Beweismöglichkeiten ausgestalteten summarischen Verfahren zu einer Erfüllung des umstrittenen Anspruchs verpflichtet zu werden. Der Erlass einer auf endgültige Anspruchsbefriedigung gerichteten einstweiligen Verfügung kommt somit allein dann in Betracht, wenn der dem Verfügungskläger aus der Nichterfüllung drohende Schaden außer Verhältnis zu demjenigen Schaden steht, der der Verfügungbeklagten aus der sofortigen Erfüllung droht.

Diese strengeren Voraussetzungen für den Erlass einer Leistungsverfügung hat der Verfügungskläger jedoch weder hinreichend dargelegt, noch glaubhaft gemacht. Es ist nicht erkennbar, warum er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen sein soll und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist. Dass die Verfügungsbeklagte sensible personenbezogene Daten des Verfügungsklägers mit einem erheblichen Missbrauchspotential verarbeite und bei Fortdauer der Datenverarbeitung weitere unbefugte Zugriffe auf die Nutzerdatenbank zu befürchten seien, reicht als Begründung dafür, dass ein weiteres Zuwarten nicht zumutbar ist, nicht aus, zumal der Verfügungskläger schon auf der Ebene der Wiederholungsgefahr eine solche nicht glaubhaft machen konnte. Natürlich ist die Verfügungsbeklagte gegenüber dem Verfügungskläger und den anderen Bonusprogramm-Teilnehmern verpflichtet, für die Sicherheit deren Daten Sorge zu tragen, wenn sie diese verarbeitet. Sicherungsmaßnahmen im einstweiligen Rechtsschutz sind aber nur möglich, wenn konkrete Möglichkeiten zur Sicherung bekannt sind, um ein erneutes Datenleck zu vermeiden. Der Verfügungskläger hat schon nicht dargelegt, dass die Einhaltung der Sicherheitsmaßnahmen des PCI DSS-Standards ein neues Datenleck vermeiden würde.


Den Volltext der Entscheidung finden Sie hier: