Streamingdienst gehackt: Spitznamenangabe und ausgebliebener Vermögensschaden schmälern Anspruch

Wer seine Daten externen Diensten anvertraut, erwartet, dass diese Daten so sicher wie möglich bewahrt werden - dafür sorgt die Datenschutz-Grundverordnung (DSGVO). Das Landgericht Lübeck (LG) hatte sich nun in einem interessanten Fall mit der Frage auseinandergesetzt, ob ein Datenleck auf einer Musikstreamingplattform automatisch Schadensersatzansprüche nach sich zieht und wie hoch diese unter Umständen zu beziffern sind.

Bei einem Musikstreamingdienst war es im Jahr 2019 zu einem erfolgreichen Datenzugriff unbefugter Dritter gekommen. Die Täter machten den Vorfall 2022 öffentlich bekannt und boten die Datensätze im Darknet zum Verkauf an. Der Streamingdienst meldete den Vorfall der französischen Aufsichtsbehörde und informierte die Kunden auf seiner Homepage. Die Daten der Kunden waren mittlerweile auch kostenlos abrufbar. Anfang 2023 informierte der Streamingdienst schließlich die individuell betroffenen Nutzer per E-Mail. Einer dieser Nutzer verlangte daraufhin Schadensersatz in Höhe von 3.000 EUR.

Das LG gab ihm teilweise recht. Der Mann hatte einen Anspruch auf Zahlung von immateriellem Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen Datenschutzverstößen. Die Höhe des Schadensersatzes beziffert das Gericht jedoch lediglich auf 350 EUR. Es hielt diesen Betrag für angemessen, aber auch für ausreichend, um den immateriellen Schaden auszugleichen, gleichzeitig der erforderlichen Abschreckungswirkung Rechnung zu tragen sowie dabei die besonderen Umstände des Falls zu würdigen.

Hinweis: Gerichten steht bei der Höhe des Schadensersatzanspruchs ein weiter Ermessensspielraum zu. In diesem Fall war zu berücksichtigen, dass in dem Datenpaket lediglich der Spitzname und nicht der Klarname enthalten war. Außerdem war es - zumindest bislang - nicht zu einer konkreten Vermögensschädigung gekommen.


Quelle: LG Lübeck, Urt. v. 04.10.2024 - 15 O 216/23
zum Thema: Sonstiges

(aus: Ausgabe 12/2024)