Muss Mastercard für das Datenleck von 2019 Schadensersatz zahlen?

Im Sommer 2019 zerstörte Mastercard das Vertrauen von 90.000 Nutzern. Durch eine Datenpanne gelangten Daten der Nutzer des Bonusprogramms „Priceless Specials“ ins Internet. Betroffen waren persönliche Daten wie Anschriften, Kontonummern, Telefonnummern und Mailadressen. 

Mastercard sah die Schuld für das Datenleck eindeutig bei einem Drittanbieter und riet den betroffenen Kunden lediglich, verdächtige Zahlungen zu melden, um Schäden durch die betrügerische Verwendung von Daten zu verhindern. 

Mehrere Tausend Betroffene gingen einen Schritt weiter und verklagten Mastercard auf Schadensersatz. Wie die FAZ wissen lässt, landet nun der erste Fall vor dem Bundesgerichtshof. 

Bloßstellung der Daten eine reine Bagatelle?

Der Fall offenbart, dass die deutschen Gerichte noch ihre Probleme mit der Datenschutzgrundverordnung haben. Dies betrifft insbesondere die Frage nach dem Schadensersatz. Im Falle von schuldhaften Verstößen gegen die Datenschutzgrundverordnung ist ein angemessenes Schmerzensgeld vorgesehen.

In Deutschland gibt es bereits einige Urteile, in denen Gerichte den Anspruch auf Schmerzensgeld, wie etwa im Fall einmaliger rechtswidriger Werbe-E-Mails, verneinen. Das wird damit begründet, dass es für Bagatellen keinen Schadensersatz gebe. 

Dieser Einschätzung hat allerdings erst kürzlich das Bundesverfassungsgericht in einem Beschluss einen Dämpfer verpasst. Die DSGVO selbst sieht nämlich keine Bagatellgrenze vor. Ob es eine solche gäbe, müsse daher erstmal der EuGH feststellen. Die deutschen Gerichte können diese Feststellung jedenfalls nicht treffen.

Auch in den Verfahren gegen Mastercard wurde so mancher Anspruch auf Schadensersatz abgelehnt. Die einfache Bloßstellung der eigenen Daten kategorisierten die Richter als Bagatelle. Wer seinen Anspruch durchsetzen wollte, musste gut begründen, dass es sich bei dem Datenleck eben nicht nur um eine Bloßstellung der Daten handelte. Mit Blick auf die Entscheidung des Bundesverfassungsgerichts kann der BGH den aktuellen Fall zumindest nicht mit dieser Begründung abwiegeln.

Beweisrecht nicht einfach

Eine weitere Hürde, die Betroffene nehmen müssen, ist die Beweisschwelle. Laut DSGVO gibt es nur Schadensersatz, wenn es sich um einen schuldhaften Verstoß handelt. Dass ein Verstoß schuldhaft ist, müssten eigentlich die Betroffenen beweisen. Nun ist es aber so, dass Mastercard keinen Einblick in die Zusammenarbeit mit Dritt-Dienstleistern gewährt. Abhilfe könnte hier eine Beweislastumkehr schaffen.

Sollte der BGH entscheiden, dass in so einem Fall das Unternehmen beweisen muss, dass es eben nicht schuldhaft gehandelt hat, würde das die Durchsetzung von Ansprüchen durch Verbraucher erheblich erleichtern. 

Für die noch laufenden anderen Verfahren von Betroffenen wird die Entscheidung des BGH jedenfalls mit Spannung erwartet. Immerhin wird diese Entscheidung in erheblichem Maße auch die nicht abgeschlossenen Gerichtsverfahren beeinflussen.