Datum: 6 September 2023
Maucher Jenkins hat das deutsche Webhosting-Unternehmen ZAP-Hosting GmbH & Co. KG erfolgreich gegen eine Klage auf Schadensersatz wegen eines vermeintlichen Datenschutzverstoßes vor dem Amtsgericht Münster vertreten. Es handelt sich hierbei um eine der ersten Entscheidungen, die nach der Grundsatz-Entscheidung des EuGH vom 04.05.2023 zur Auslegung des Art. 82 DSGVO ergangen ist (EuGH - Rechtssache C-300/21).
Ein Nutzer von ZAP-Hosting hatte das Unternehmen im Anschluss an einen externen Hackerangriff auf Schadensersatz in Höhe von 4.500 Euro sowie Erstattung der vorgerichtlichen Anwaltskosten verklagt. Der Nutzer stützte seinen (immateriellen) Schadensersatzanspruch auf einen angeblichen Kontrollverlust über seine Daten und ein sich hierauf ergebendes Unwohlsein.
Das Gericht hat die Klage vollumfänglich abgewiesen. Die Entscheidung enthält hierbei wertvolle Hinweise bezüglich der Interpretation und Umsetzung des EuGH-Urteils durch die deutschen Instanzgerichte. Der EuGH hatte zwar festgestellt, dass das Erreichen einer Erheblichkeitsschwelle in Bezug auf den erlittenen Schaden nicht nötig ist. Wie das Amtsgericht zu Recht feststellte, bedeutet dies indes nicht, dass ein Kläger einen (immateriellen) Schaden nicht darzulegen und im Zweifel zu beweisen hat. Dies decke sich auch mit den Feststellungen des EuGH in der vorgenannten Entscheidung.
Mangels Darlegung und Nachweises eines Schadens musste das Gericht gar nicht erst auf die Frage eingehen, ob ein externer Hackerangriff bei Beachtung der dem Stand der Technik angemessenen Schutzmaßnahmen überhaupt einen solchen Schadensersatzanspruch dem Grunde nach begründen kann.
Das Urteil ist mittlerweile rechtskräftig. Das Verfahren wurde von Rechtsanwalt Dr. Michael Nielen geführt.
Diese Entscheidung setzt ein wichtiges Signal an Unternehmen, die mit Datenlecks zu kämpfen haben, insbesondere wenn diese durch externe Hackerangriffe verursacht werden. Vor dem EuGH-Urteil wurde von deutschen Gerichten in vergleichbaren Verfahren zur Begründung des immateriellen Schadens teilweise lediglich der befürchtete „Kontrollverlust“ als ausreichende Begründung herangezogen. Im Einklang mit dem EuGH-Urteil schiebt diese Entscheidung einer solchen Vorgehensweise nun zu Recht den Riegel vor. Dies ist insbesondere mit Blick auf die bevorstehende Verabschiedung des Verbraucherrechtedurchsetzungsgesetzes (VDuG) ein wichtiges Signal, da im Regierungsentwurf die Möglichkeit der Geltendmachung von Massenklagen durch Verbraucherverbände im Falle eines vermeintlichen Datenschutzverstoßes vorgesehen ist und sich Unternehmen bei Umsetzung dieses Entwurfes umso stärker entsprechenden Klagen ausgesetzt sehen dürften.
Bei Fragen im Bereich des Datenschutzes wenden Sie sich gerne an: