So unter anderem das Gericht in seinem Urteil vom 4. Oktober 2024 (Az.: 15 O 216/23). Unter anderem war ein Schadensersatzanspruch nach Art. 82 DSGVO für die Veröffentlichung im Darknet geltend gemacht worden. Das Gericht sprach dem Kläger 350 EUR zu und begründet in den Entscheidungsgründen des Urteils den zugesprochenen Anspruch unter anderem wie folgt:
„…Unerheblich ist auch, ob die Daten auf mehreren Seiten angeboten werden. Die Gefahr, dass die rechtswidrig zirkulierenden Daten auch auf weiteren Seiten angeboten werden, ist dem Vorgang imminent und ist entsprechend allenfalls für die Höhe des zuzusprechenden Schadensersatzanspruches von Relevanz (vgl. unten).
Das Gericht sieht sich auch nach neuerlicher Überprüfung seiner Rechtsprechung nicht veranlasst, diese Ausführungen im Licht der ersten vorliegenden Rechtsprechung von Oberlandesgerichten hierzu abzuändern.
Nicht zu überzeugen vermögen insoweit die Ausführungen des Oberlandesgerichts Hamm (Urteil vom 15. August 2023, Az. I-7 U 19/23, GRURRS 2023, 22505). Dieses verneint das Vorliegen eines Schadens im Wesentlichen damit, dass der „Kontrollverlust in Form des unkontrollierten Abrufs der Daten durch die Scraper und der anschließenden Veröffentlichung des Leak-Datensatzes im Darknet (…) lediglich die zwangsläufige und generelle Folge der unrechtmäßigen bzw. unzureichend geschützten Datenverarbeitung durch die Beklagte“ gewesen sei (OLG Hamm, a.a.O.) – und damit gerade keinen konkreten Schaden im Einzelfall im Sinne der oben dargestellten Rechtsprechung des Europäischen Gerichtshofes darstellen könne. Dies überzeugt die Kammer nicht. Richtig ist zwar, dass die festgestellten Verstöße gegen die DSGVO zwingend das Risiko erhöht haben, dass es zu unrechtmäßigen Angriffen und Datenabflüssen kommt. Dass sich dieses Risiko jedoch auch tatsächlich realisiert ist alles andere als zwangsläufig der Fall. Vielmehr existieren bei einer potentiell sehr großen Zahl an Unternehmen und Behörden relevante Sicherheitslücken und mangelhafte Prozesse nach der DSGVO – die aber unentdeckt bleiben und bei denen es daher (oder aus anderen Gründen, z.B. mangelndes Interesse Dritte an den fraglichen Daten) zu keinen Datenabflüssen kommt. In diesen Fällen – aber eben auch nur in diesen Fällen – liegt die Konstellation von Verstößen vor, die mangels hieraus folgenden Schadens nicht zu einer Haftung des Verantwortlichen nach Art. 82 DSGVO führen. Anders liegt es hingegen zur Überzeugung der Kammer hier, da hier eben ein von der DSGVO-Verletzung selbst zu trennender (vgl. zu dieser z: EuGH, Urteil vom 4. Mai 2023 – C-300/21 -, juris) Datenabfluss ins Darknet samt dortiger Weiterverarbeitung und Veröffentlichung durch illegal handelnde Dritte tatsächlich passiert ist und es damit zu einer konkreten und individuell benennbaren Verletzung des Rechts der Klägerseite auf informationelle Selbstbestimmung gekommen ist – eines Rechts im Übrigen, dessen Verletzung zu prüfen das Oberlandesgericht Hamm vollständig unterlassen hat. Dass von dessen Verletzung auch Millionen anderer Nutzer*innen betroffen sind, gibt diesem Vorgang insoweit auch keinen anderen Charakter. Wäre es zu einem Abfluss der Daten nur der Klägerseite gekommen, bestünden kaum Zweifel an deren konkreter Betroffenheit. Dass sie jedoch nicht allein, sondern zusammen mit Millionen anderen Nutzerinnen und Nutzern betroffen ist, vermag hieran nichts zu ändern. Eine Rechtsgutverletzung wird nicht dadurch weniger Rechtsgutverletzung (und damit weniger justiziell schutzwürdig), dass sie massenhaft verursacht wurde…“
Hinweis des Autors:
Zum Zeitpunkt der Erstellung des Beitrages ist nicht bekannt, ob das Rechtsmittel der Berufung gegen das Urteil eingelegt wurde.
