Skip to content

LG Köln: 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO wenn Verantwortlicher Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah löscht

LG Köln
Urteil vom 18.05.2022
28 O 328/21


Das LG Köln hat in diesem Fall entschieden, dass der Betroffene einen Anspruch auf 1.200 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO hat, da der Verantwortliche die Zugangsdaten eines ehemaligen IT-Dienstleister nicht zeitnah gelöscht hatte.

Aus den Entscheidungsgründen:

Der Kläger hat im tenorierten Umfang Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Die Beklagte hat dadurch, dass sie die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Ende der Vertragsbeziehung nicht änderte, gegen ihre Verpflichtung aus Art. 32 DSGVO sowie aus Art. 5 DSGVO verstoßen. Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Die Kammer nimmt einen Verstoß gegen diese Vorgaben aufgrund des zwischen den Parteien unstreitigen Umstandes an, dass die der Fa. C. zur Verfügung gestellten Zugangsdaten nach Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden. Damit schuf die Beklagte das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten, sondern auch durch von Seiten von Mitarbeitern der C. vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren. Die Beklagte kann sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens C. dauerhaft und vollständig gelöscht werden würden (so auch in einem Parallelfall LG München I, Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36). Jedenfalls wäre eine Überprüfung der Löschung angezeigt gewesen, die die Beklagte aber ebenfalls nicht vorträgt.

Das der Beklagten anzulastende Versäumnis war – was ausreichend ist – jedenfalls mitursächlich für den dem Kläger entstandenen Schaden (vgl. LG München I a.a.O. Rn. 39).

Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 DSGVO. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen "physischen, materiellen oder immateriellen Schaden" darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem "im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht" und die "betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten". Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist (LG München I a.a.O. Rn. 41 mit w.N.).

Aufgrund des dem Kläger mit Schreiben vom 19.10.2020 mitgeteilten Umfangs der entwendeten persönlichen Daten geht die Beklagte ausweislich dieses Schreibens selbst davon aus, dass versucht werden konnte, die Betroffenen zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, sowie dass die Gefahr bestand, dass es mit Hilfe der Daten zu Identitätsmissbrauchsversuchen kommen würde. Auf die weiteren, teilweise zwischen den Parteien streitigen, Umstände der tatsächlichen oder gefühlten Beeinträchtigung des Klägers durch den Vorfall kommt es nach Auffassung der Kammer vor diesem Hintergrund nicht maßgeblich an.

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (LG München I a.a.O. Rn. 44 m.w.N.).

Hier war bei der Bemessung der Höhe zu berücksichtigen, dass ein Missbrauch der Daten zu Lasten des Klägers bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist. Wie vom LG München I a.a.O. zutreffend herausgearbeitet, muss allerdings auch die Absicht des EU-Verordnungsgebers berücksichtigt werden, mit Hilfe des Schadensersatzanspruchs eine abschreckende Wirkung zu erzielen. Zu Gunsten der Beklagten fällt allerdings – wie in der mündlichen Verhandlung bereits ausgeführt, ins Gewicht, dass der ihr zuzurechnende Datenschutzverstoß nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkten. Denn hinzu kam ein weiterer mindestens fahrlässiger Verstoß bei der Fa. C. sowie nicht zuletzt das vorsätzliche rechtswidrige Vorgehen der Hacker selbst. Zu berücksichtigen ist auch, dass die Beklagte dem Kläger vorübergehend das „meine Schufa Plus“ Angebot finanzierte. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet die Kammer damit eine Schadensersatzzahlung in der tenorierten Höhe für angemessen.


Den Volltext der Entscheidung finden Sie hier:


LG München: 2.500 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO bei Nichtlöschung der Zugangsdaten nach Vertragsbeendigung und Zugriff auf Dokumentenarchiv durch Unbefugte

LG München
Urteil vom 09.12.2021
31 O 16606/20


Das LG München hat in diesem Verfahren dem Betroffenen 2.500 EURO immateriellen Schadensersatz aus Art. 82 Abs. 1 DSGVO bei Nichtlöschung der Zugangsdaten nach Vertragsbeendigung und Zugriff auf das Dokumentenarchiv durch Unbefugte zugesprochen.

Aus den Entscheidungsgründen:

Der Kläger hat gegenüber der Beklagten einen Anspruch auf Zahlung von 2.500, - Euro gem. Art. 82 Abs. 1 DSGVO als immateriellen Schadensersatz.

Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Nach Art. 82 Abs. 3 DSGVO trägt die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen. Dem Verletzten obliegt es daher auch, den Datenschutzverstoß zu beweisen. Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. Hierauf kann jedoch eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden (Quaas BeckOK Datenschutzrecht, Wolff/Brink; 36. Edition Stand: 01.05.2021 § 82 Rn. 51; 9 U 34/21 OLG Stuttgart Urteil vom 31.03.2021; LG Frankfurt vom 18.01.2021 — 2-30 O 147/20).

Im Hinblick auf die Frage des Datenschutzverstoßes verlangt Art. 32 DSGVO (Sicherheit der Verarbeitung) geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) entnommen werden.

Insbesondere nennt der Erwägungsgrund 39 als geforderte Maßnahmen, dass gewährleistet ist, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Die Anlage zu § 9 BDSG 2003 listete technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 lit. f eingesetzt werden können.

Unter Zugrundelegung dieser Vorgaben hat die Beklagte einen Datenschutzverstoß begangen.

Hierbei kann dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen zugerechnet werden können. Denn die Beklagte hat selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DSGVO).

So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen CS. nach Beendigung der Geschäftsbeziehung nicht geändert hat. Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens CS. gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen. Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn - wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden.

Sofern die Beklagte ausweislich Ihres Schreibens vom 19.10.2020 nach dem Vorfall umgehend alle erforderlichen Maßnahmen ergriffen hat, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen, so ist es - entgegen der Ansicht des Beklagten - nicht als unzumutbar anzusehen, dass dies bereits unmittelbar nach Beendigung der Geschäftsbeziehung mit dem Unternehmen CS. hätte getan werden können. Auch wenn dies einen gewissen Aufwand erfordert hätte - und jetzt ja auch erfordert hat, kann dies keine Berechtigung dafür sein, die Daten der Kunden in einem bestimmten Bereich der Gefährdung durch einen (möglichen) unerlaubten Zugriff von außen ausgesetzt sein zu lassen.

Wenn die Beklagte außerdem betont, dass es sich bei CS. um ein unabhängiges Uhnternehmen handelt, dessen etwaige Unzulänglichkeiten ihr daher von vornherein nicht zugerechnet werden können, ist dies unerheblich. Denn es lag eben auch eine Unzulänglichkeit auf Seiten der Beklagten bzw. ein eigener DSGVO-Verstoß vor, und gerade die seitens der Beklagten vorgetragene fehlende rechtliche und tatsächliche Möglichkeit, den Löschungsprozess bei CS. zu beaufsichtigen, zu kontrollieren oder anzuweisen erforderte auf Seiten der Beklagten die Vornahme entsprechender eigener Sicherungsmaßnahmen.

Es liegt auch die erforderliche Kausalität zwischen dem „DSGVO-Verstoß“ und dem „Schaden“ vor. Art. 82 Abs. 1 DSGVO verlangt, dass der Schaden infolge eines konkreten DSGVO-Verstoßes eintritt. Es genügt zwar nicht, dass ein Schaden bloß auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen war (OLG Stuttgart, Urteil vom 31. März 2021, Az. 9 U 34/21, S. 8, Anlage B 2; Paal, MMR 2020, 14, 17 m.w.N.), vorliegend beruht der Schaden aber nicht nur auf eine solche Verarbeitung. Es ist davon auszugehen, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre (vgl. Quaas, in: BeckOK Datenschutzrecht, Wolff/Brink, 33. Ed., 01.08.2020, Art. 82 DSGVO Rn. 51; 26 - Mitursächlichkeit genügt).

Sofern die Beklagte das Urteil das LG München I vom 02.09.2021, 23 O 10931/20 angeführt, sprechen dessen Entscheidungsgründe gerade dafür, dass im vorliegenden Fall ein Schaden gegeben ist. So weist das Landgericht zutreffend darauf hin, dass nach Art. 82 DS-GVO auch ein durch einen Verstoß gegen die Verordnung entstandener immaterieller Schaden ersetzt werden kann sowie dass in den Erwägungsgründen (Nr. 75) (insbesondere) auch Nichtvermögensschäden durch Diskriminierung, Indentitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder gesellschaftliche Nachteile genannt sind (Vgl. BeckOK Datenschutz/Quaas DSGVO Art. 82 Rz. 23). Im dortigen Verfahren hat das Gericht seine Entscheidung insbesondere darauf gestützt, dass der Kläger sich darauf beschränkt hat, vorzutragen, sein Schaden bestehe im Verlust der Kontrolle über seine Daten (was aber auch im Erwägungsgrund Nr. 75 genannt ist!). Während dort ein Angriff auf den Account der E-Mail-Adresse zugrunde liegt, sind im vorliegenden Fall wesentlich umfangreichere und sensiblere Daten abgegriffen worden. Entgegen der Ansicht des LG Essen, Urteil vom 23.9.2021 - 6 O 190/21 liegt darin eine nicht nur „unbedeutende oder empfundene Verletzung von Persönlichkeitsrechten“. Im Übrigen erwähnt das LG Essen auch, dass ein Schmerzensgeldanspruch nach Art. 82 DS-GVO nicht auf schwere Schäden beschränkt ist, sodass sich ein genereller Ausschluss von Bagatellfällen verbietet. Das Gericht geht zudem offensichtlich (und zutreffend) auch davon aus, dass ein Identitätsdiebstahl für einen Schmerzensgeldanspruch ausreichen würde.

Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 Ill EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren. Denn nur so wäre eine effektive Durchsetzung des EU-Rechts — und damit auch der DS-GVO — gewährleistet (Wybitul/Haß/Albrecht: NJW 2018, 113, beck-online; vgl. auch Korch, NJW 2021, 978 - „Aus Erwägungsgrund 146 S. 3 ergibt sich, dass der Begriff des Schadens weit zu verstehen ist“).

Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet.

So hat die Beklagte mit Schreiben vom 19.10.2020 (Anlage K 7) den betroffenen Kunden, somit auch dem Kläger mitgeteilt, dass die folgenden Daten von dem Vorfall betroffen sind wie „Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer)“ und dass der Versuch unternommen werden könnte, Dritte mit der Identität des Kunden zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch).

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten (vgl. Quaas BeckOK Datenschutzrecht, Wolff/Brink 37. Edition Stand: 01.08.2021 Rn. 31), wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31).

Allerdings muss bei der Bemessung der Höhe des immateriellen Schadensersatzes berücksichtigt werden, dass die streitgegenständlichen Daten offensichtlich bislang noch nicht, jedenfalls nicht zu Lasten des Klägers missbraucht worden sind und von daher allenfalls eine mehr oder weniger hohe Gefährdung angenommen werden kann. Berücksichtigt werden muss jedoch auch - wie oben angesprochen - die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes. Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht einen (immateriellen) Schadensersatz in Höhe von 2.500, - Euro als angemessen.

Sofern die Beklagte meint, es sei eine Vorabentscheidung des EuGH zwingend erforderlich, was jüngst das BVerfG, Beschluss von 14.1.2021 - 1 BvR 2853/19 festgestellt hat, so übersieht sie Art. 267 Abs. 3 AEUV. Während nämlich bei dem, der genannten Entscheidung zugrunde liegenden Sachverhalt weder die Berufungsbeschwer erreicht war, noch das Amtsgericht die Berufung zugelassen hatte, ist diese vorliegend unzweifelhaft gegeben (vgl. § 511 Abs. 1, 2 Ziff. 1 ZPO), so dass keine letztinstanzliche Entscheidung gegeben ist.


Den Volltext der Entscheidung finden Sie hier:


OLG Köln: Allgemeine Einwilligung für Werbeanrufe nach Vertragsbeendigung unzulässig - Klausel in AGB der Telekom Deutschland GmbH unwirksam

OLG Köln
Urteil vom 02.06.2017
6 U 182/16


Das OLG Köln hat entschieden, dass eine Klausel in den AGB unzulässig ist, die eine allgemein Einwilligung für Werbeanrufe nach Vertragsbeendigung enthält.

Es ging um folgende Klausel der Telekom Deutschland GmbH:

"Ich möchte künftig über neue Angebote und Services der Telekom Deutschland GmbH per E-Mail, Telefon, SMS oder MMS persönlich informiert und beraten werden.

Ich bin damit einverstanden, dass meine Vertragsdaten aus meinen Verträgen mit der Telekom Deutschland GmbH von dieser bis zum Ende des Kalenderjahres, das auf die Beendigung des jeweiligen Vertrages folgt, zur individuellen Kundenberatung verwendet werden. Meine Vertragsdaten sind die bei der Telekom Deutschland GmbH zur Vertragserfüllung [Vertragsabschluss, -änderung, -beendigung, Abrechnung von Entgelten] erforderlichen und freiwillig angegebenen Daten."


Aus den Entscheidungsgründen:

"Die streitgegenständliche Klausel, deren Verwendung durch die Beklagte unstreitig ist, ist wegen Verstoßes gegen § 307 BGB unwirksam.

a. Es handelt sich nach der Rechtsprechung bei einer Einwilligung als einer einseitigen Erklärung zwar um keine Vertragsbedingung im eigentlichen Sinne (BGH GRUR 2000, 828, 829 - Telefonwerbung VI; BGH GRUR 2008, 1010 Rn. 18 - Payback). Jedoch sind die §§ 305 ff. BGB mit Rücksicht auf ihren Schutzzweck auf eine vorformulierte und vom Verwender vorgegebene Einwilligungserklärung für Werbeanrufe anwendbar, wenn sie im Zusammenhang mit einer Sonderverbindung steht (BGH GRUR 2013, 531 Rn. 19 f. - Einwilli
gung in Werbeanrufe II), was vorliegend bei einer Einwilligung im Zusammenhang mit einer kostenpflichtigen Bestellung eines Produkts der Beklagten (Anlage K1, Bl. 7 ff.) ohne Weiteres zu bejahen ist.

[...]

cc. Die Einwilligung muss „für den konkreten Fall“ und „in Kenntnis der Sachlage" erteilt werden, was bedeutet, dass der Verbraucher nicht nur wissen muss, dass seine Erklärung ein Einverständnis darstellt, sondern auch, worauf sie sich bezieht. Maßgebend ist dabei nicht die konkrete Vorstellung eines ein-
zelnen Verbrauchers, sondern die Sichtweise des angemessen gut informierten und angemessen aufmerksamen und verständigen Durchschnittsverbrauchers oder des durchschnittlichen Mitglieds der angesprochenen Verbrauchergruppe (Köhler/Bornkamm-Köhler, a.a.O., § 7 Rn. 149b).

Die Klausel, mit der der Verbraucher darin einwilligt, dass die Beklagte bei einem Kunden, dessen Vertrag beispielsweise im Januar 2016 beendet wurde, noch maximal bis Ende 2017 seine Vertragsdaten, und zwar in erheblichem Umfang, „zur individuellen Kundenberatung“ verwenden darf, verbindet für den Verbraucher verschiedene Aspekte, aus denen sich Zweifel an der Erklärung der Einwilligung „für den konkreten Fall“ und „in Kenntnis der Sachlage" ergeben.

Denn bei Auslegung der Klausel stellt sich die Frage, worin aus Sicht des Ver brauchers eine „individuelle Kundenberatung“ bestehen soll in Bezug auf einen Verbraucher, der im ungünstigsten Fall bereits seit fast zwei Jahren nichtmehr vertraglich mit der Beklagten verbunden ist, d.h. gar nicht mehr Kunde der Beklagten ist und der aller Wahrscheinlichkeit nach zu diesem Zeitpunkt längst Kunde eines Wettbewerbers der Beklagten geworden ist. Mangels Bestehens einer Kundenbeziehung zwischen der Beklagten und dem „Kunden“

nach Beendigung des Vertrages ist unklar, worauf sich eine „individuelle Kun denberatung“, in die der Kunde einwilligen soll, noch beziehen kann. Der Begriff der „individuellen Kundenberatung“, der für sich bereits keinen fest umrissenen Inhalt oder Umfang hat, mag zwar bei einem bestehenden Vertragsverhältnis und bei einer bestehenden Kundenbeziehung Beratungsleistungen in Bezug auf das konkrete Vertragsverhältnis meinen und in dieser Weise vom Kunden verstanden werden. Jedenfalls bei einem Verbraucher, der seit fast zwei Jahren nicht mehr in einer Kundenbeziehung zur Beklagten steht, fehlt
jedoch jeglicher Anknüpfungspunkt für eine „individuelle Kundenberatung“.

Der einwilligende Kunde kann mithin nicht wissen, was die Beklagte mit „individueller Kundenberatung“ nach Beendigung des Kundenverhältnisses meint. Soweit der Verbraucher nicht überschaut, wozu, also auf welche Produkte und Dienstleistungen er mit seiner Erklärung zu einer wie auch immer zu verstehenden „individuellen Kundenberatung“ - auch unter Rückgriff auf umfangreiche Vertrags- und Kontodaten - noch fast zwei Jahre nach Beendigung des Vertrages einwilligt, fehlt es jedenfalls an einer Einwilligung „in Kenntnis der Sachlage“.


Den Volltext der Entscheidung finden Sie hier: