Datenschutz: Sicherheitsstandards zur Datensicherheit nach Art. 32 DSGVO

Das OLG Stuttgart entschied am 31.03.2021 in einem Berufungsurteil über einen Schadensersatzanspruch wegen einer vermeintlichen Datenschutzverletzung und befasste sich dabei insbesondere mit der Frage der Beweislast, wenn der Beklagten nicht ausreichende Sicherheitsstandards zur Datensicherheit nach Art. 32 DSGVO vorgeworfen werden.

Das Urteil des OLG Stuttgart mit dem Aktenzeichen 9 U 34/21 ist unter anderem unter folgenden Webadressen zu finden: https://openjur.de/u/2354794.html

Hintergrund

Die Klägerin war Kundin einer europäischen Tochtergesellschaft eines Anbieters von Zahlungskarten. Sie nutzte die Kreditkarte zur Sammlung von Punkten, die man gegen Prämien einlösen konnte. Durch einen Hackerangriff, der am 19.08.2019 bemerkt wurde, wurden personenbezogene Daten der Klägerin abgegriffen und im Internet veröffentlicht. Anmeldedaten, Passwörter und die Prüfnummer waren nicht betroffen.

Die Klägerin wirft der Beklagten vor, dass diese wesentliche Teile der personenbezogenen Daten unverschlüsselt gespeichert und es versäumt habe, den erforderlichen Standard „PCI-DSS“ einzuhalten. Zudem sei die Beklagte bereitsein Jahr vor dem Entdecken des Hackerangriffs auf die Sicherheitslücke hingewiesen worden und es sei bereits zu Diebstählen von Gutscheinen gekommen.

Die Entscheidung

Das OLG erklärte die Berufung für unbegründet, da ein Verstoß gegen Datenschutzrecht mangels Beweises einer ungenügenden IT-Sicherheit nicht geführt wurde.

So sei die Behauptung der Klägerin, die Beklagte hätte den PCI-DSS-Standard nicht eingehalten, keinen Beweis geliefert. Nach dem Hessischen Datenschutzbeauftragten liege eine Sicherheitslücke zwar nahe, aber ein Hinweis auf die Nichteinhaltung des Standards gibt es nicht. So heißt es in Rn. 39 des Urteils:

„Der Hinweis in dem Bericht des Hessischen Beauftragten für Datenschutz (auszugsweise vorgelegt mit Anlage BB 1) legt zwar eine „Sicherheitslücke“ nahe, vermutet diese aber auch nur und enthält gerade keinen Hinweis auf die Nichteinhaltung des o.g. Standards, sondern weist undifferenziert auf „Sicherheitsprobleme“ hin.“

Schließlich hat die Beklagte die Behauptung, die Beklagte sei auf Sicherheitsmängel hingewiesen worden, bestritten und auch der Diebstahl von Gutscheinen beweist nicht, dass der PCI-DSS-Standard nicht eingehalten wurde. In Rn. 39 heißt es hierzu:

„Soweit schließlich die Klägerin vorträgt, die Beklagte sei auf Sicherheitsmängel hingewiesen worden, ist ein Zusammenhang zu dem späteren Datenabgriff bestritten. Auch das - ohnehin spätere - „Entwenden“ von Gutscheinen erlaubt keinen Rückschluss, wie das Abgreifen der persönlichen Daten geschah. Denn die an die Kunden verteilten Gutscheine können schlicht auch dort abgegriffen worden sein.“

Diese Umstände werfen die Kernfrage des Urteils auf, nämlich wer die Beweislast trägt, wenn das Vorliegen oder Nicht-Vorliegen einer ausreichenden IT-Sicherheit nicht bewiesen ist.

Hierfür verneint das OLG sowohl eine Beweislastregelung in der Rechenschaftspflicht des Art. 5 II DSGVO als auch generell das Vorliegen einer Beweislastregelung in der DSGVO. Es beruft sich auf den eingeschränkten Anwendungsbereich des Art. 5 II DSGVO, die generell eingeschränkte Stellung des Betroffenen sowie die Regelung des Art. 82 III DSGVO. In den Rn. 43-45 heißt es hierzu:

„Die DS-GVO enthält kein Beweisrecht (vgl. Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, 2017, Kap. F Rn. 1250). Es gelten die Beweisregeln des jeweiligen nationalen Prozessrechts.

Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. […]

Den Betroffenen gesteht die DS-GVO jedoch nur eingeschränkte Rechte zu, wie Art. 15 DS-GVO zeigt […]. Ebenso wenig ist dem Begriff der „Verantwortlichkeit“ i.S.d. Art. 82 Abs. 3 DS-GVO zu entnehmen, dass sich der Verantwortliche neben dem Verschulden bezüglich aller anderen Tatbestandsmerkmale, also auch bezüglich des Pflichtenverstoßes selbst bereits in objektiver Hinsicht zu exkulpieren hätte, ein Pflichtenverstoß also zu vermuten wäre (vgl. Piltz/Zwerschke, GRUR-Prax 2021, 11, 12).“

Infolgedessen wendet das OLG die Grundsätze der sekundären Darlegungslast an, die im Rahmen des Effektivitätsgrundsatzes Anwendung finden nach Rn. 46:

„Die Grundsätze über die sekundäre Darlegungslast helfen dem Betroffenen je nach den Umständen darüber hinaus weiter, wenn er darlegt, dass und in welcher Weise es ihm nicht möglich ist, zu den maßgeblichen Umständen - hier einer unsicheren Datenverarbeitung - weitere Nachforschungen zu betreiben und dass ihm Beweismittel nicht zur Verfügung stehen, er also in Beweisnot ist. Mehr verlangt der Effektivitätsgrundsatz nicht. Insbesondere verlangt er keine Beweislastumkehr bezüglich der Tatbestandsmerkmale des Art. 82 DS-GVO […].“

Die sekundäre Darlegungslast führte allerdings vorliegend nicht dazu, dass die Klägerin es dabei belassen konnte, der Beklagten ungenügende Sicherheitsstandards vorzuwerfen. Zwar hat sie in die Interna der Beklagten keinen Einblick, doch hat die Beklagte ihren Verarbeitungsstandard ausreichend vorgetragen und ihrer Beweislast damit genügt, so in Rn. 49:

„Die Anwendung der vorgenannten Grundsätze über die sekundäre Darlegungslast führt im Streitfall nicht zu weiteren Erleichterungen für die Klägerin. Die Klägerin hat zwar - insoweit zu Recht - darauf hingewiesen, dass es sich bei der Datenverarbeitung um Interna der Beklagten handele, in die sie keinen Einblick habe. Die Beklagte hat jedoch zur Verarbeitung, insbesondere den anzuwendenden und eingehaltenen sowie regelmäßig überprüften Standards eingehend vorgetragen. Das hält der Senat für ausreichend.“

Dies begründet das Gericht insbesondere damit, dass es auch der Klägerin nicht unmöglich gewesen wäre, die nötigen Informationen einzuholen, mit denen sich eine ungenügende Verarbeitungssicherheit der Beklagten begründen lasse, so Rn. 49 und 50:

„Dass sie sich in einer solchen Beweisnot befinden würde, die es ihr nicht ermöglichte, die wesentlichen Tatsachen aufzuklären, vermag der Senat nicht zu bejahen. Insbesondere liegt es nahe, von dem Hessischen Beauftragten für Datenschutz, zu dem die Klägerin Kontakt hatte (vgl. Anlage zum Ss. vom 23.03.2021) und der auch als Zeuge benannt werden könnte, nähere Erkenntnisse zu den angeblichen „Sicherheitsproblemen“ zu erhalten. […]

Die Beklagte ist aber nicht gehalten, der Klägerin Material für den Prozesssieg zu verschaffen, das sie nicht hat und das die Klägerin auch beschaffen könnte.“

Auch sieht das OLG auch in der Tatsache des erfolgreichen Hackerangriffs keinen Beleg, dass ungenügende Sicherheitsstandards vorliegen, da viele Hacker es gerade auf gute Sicherheitsstandards abgesehen haben, so in Rn. 52:

„Dass es zu einem erfolgreichen Hackerangriff kommt, lässt auch keinen halbwegs begründeten Schluss darauf zu, es habe an Sicherheitsvorkehrungen gemangelt. Denn Hacker machen sich zum Teil geradezu einen Sport daraus, auch besonders gute Sicherungsvorkehrungen zu „knacken“.“

Schließlich gelang der Klägerin auch nicht der Nachweis, dass die ungenügenden Sicherheitsstandards für den entstandenen Schaden kausal verantwortlich wären. So heißt es in Rn. 62 hierzu:

„Im Streitfall ist eine Kausalität einer - unterstellten - Pflichtverletzung durch unterlassene Anwendung des „PCI-DSS“-Standards nicht erwiesen. Die Klägerin hat dazu, mittels welcher Attacke die Hacker die Daten abgriffen, nichts vorgetragen. Insoweit helfen ihr die Grundsätze der sekundären Darlegungslast nicht weiter.“

Fazit

Die in dem Urteil vorgenommenen Beweislasterwägungen betreffen vornehmlich den ungenügenden Vortrag der Klägerin, werfen aber auch ein Licht auf die hohen Anforderungen, denen die Betroffenen im Fall des Mastercard- und anderen Datenlecks genügen müssen.

Auch wenn die Grundsätze der sekundären Darlegungslast Anwendung finden, können sich die Kläger nicht darauf ausruhen, eine ungenügende Datensicherheit lediglich anzuprangern und auf vergangene erfolgreiche Hackerangriffe verweisen. Erforderlich ist, dass die Kläger alle ihnen zur Verfügung stehenden Möglichkeiten ausschöpfen, die die ungenügende Datensicherheit im konkreten Fall sowie deren Kausalität für den Schaden belegen.

Ob dies den betroffenen von Datenlecks und Hackerangriffen nicht doch zu hohe Hürden auf dem Weg zum Schadensersatz auflegt, obliegt nun der Entscheidung des BGH. Das Revisionsverfahren diesbezüglich läuft unter dem Aktenzeichen VI ZR 111/21.