Das Oberlandesgericht Hamm hat in einem aktuellen Beschluss (7 U 14/24) wichtige Klarstellungen zur Darlegungs- und Beweislast bei Datenschutzverstößen getroffen. Der Beschluss vom 14. Mai 2024 betrifft einen Fall, in dem der Kläger Ansprüche aufgrund eines vermeintlichen API-Bugs bei einem Kurznachrichtendienst geltend gemacht hatte. Die Entscheidung hat weitreichende Auswirkungen auf die Praxis und setzt klare Maßstäbe für zukünftige Fälle.
Tatbestand
Der Kläger erhob Ansprüche gegen die Betreiberin eines weltweit bekannten Kurznachrichtendienstes wegen vermeintlicher Verletzungen der Datenschutzgrundverordnung (DSGVO). Der Kläger nutzte die Plattform des Dienstes und behauptete, aufgrund eines API-Bugs seien seine persönlichen Daten durch ein Datenleck an unbekannte Dritte gelangt und im Internet veröffentlicht worden. Hierdurch sei er in einen Zustand des Unwohlseins versetzt worden und habe verstärktes Misstrauen gegenüber Online-Dienstleistungen entwickelt.
Er forderte immateriellen Schadensersatz, da er der Ansicht war, dass die Beklagte seine Daten ohne Rechtsgrundlage Dritten zugänglich gemacht und unzureichende Sicherheitsvorkehrungen getroffen habe. Darüber hinaus verlangte er eine Auskunft über die Verarbeitung seiner Daten gemäß Art. 15 DSGVO und beantragte zukünftige Schadensersatzansprüche für mögliche weitere Schäden.
Entscheidungsgründe
Das Oberlandesgericht Hamm wies darauf hin, dass es beabsichtigt die Berufung des Klägers zurückzuweisen. Der Kläger nahm hieraufhin die Berufung zurück. Der Senat stellte fest, dass der Kläger die Darlegungslast und Beweislast für die Betroffenheit von einem Datenleck trägt. Der Kläger konnte nicht nachweisen, dass seine Daten tatsächlich vom API-Bug betroffen waren. Das Gericht betonte, dass eine bloße Vermutung nicht ausreicht und eine Erklärung mit Nichtwissen unzulässig ist, wenn die Beweislast beim Kläger liegt.
Im Hinblick auf die Forderung nach immateriellem Schadensersatz entschied das Gericht, dass der Kläger keinen konkreten Schaden ausreichend dargelegt hat. Das behauptete Unwohlsein des Klägers sei nicht eindeutig auf den vermeintlichen Vorfall zurückzuführen, sondern könnte auch allgemeiner Natur sein.
Auch die Klageanträge auf zukünftigen Schadensersatz und Unterlassung wurden abgewiesen. Der Kläger konnte nicht schlüssig darlegen, dass durch den vermeintlichen Datenvorfall zukünftige Schäden wahrscheinlich sind. Zudem sei die geforderte Sicherheitsmaßnahme bei der API-Schnittstelle inzwischen technisch überholt und daher nicht mehr relevant.
Ausblick und Auswirkungen auf die Praxis
Die Entscheidung des Oberlandesgerichts Hamm verdeutlicht die strengen Anforderungen an die Darlegungslast und Beweislast bei Datenschutzverstößen. Für die Praxis bedeutet dies, dass Kläger detaillierte und nachweisbare Informationen über ihre Betroffenheit vorlegen müssen. Eine bloße Vermutung oder Erklärung mit Nichtwissen ist unzureichend.
Für Unternehmen und Dienstleister unterstreicht der Beschluss die Bedeutung einer umfassenden Dokumentation und Kommunikation im Falle von Datenpannen. Betroffene Nutzer sollten zeitnah und detailliert informiert werden, um rechtliche Auseinandersetzungen zu vermeiden.
Dieser Beschluss wird voraussichtlich die Rechtsprechung im Datenschutzrecht in zukünftigen Fällen prägen und bietet eine wichtige Orientierung für alle Beteiligten. Unternehmen sollten ihre Datenschutzmaßnahmen und -kommunikation regelmäßig überprüfen und anpassen, um den Anforderungen der DSGVO gerecht zu werden und rechtliche Risiken zu minimieren. Die Unternehmenssicherheit sollte dabei stets im Fokus stehen, um die Gefahr von Datenschutzverstößen zu minimieren.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530