#Datenleck von Mastercard vor dem BGH

„Es gibt Dinge, die kann man nicht kaufen. Für alles andere gibt es Mastercard.“ Mit diesem Slogan warb der amerikanische Zahlungsdienstleister für den Einsatz seiner Kreditkarte bei deutschen Kunden und auch um deren Vertrauen. Wer Mastercard zur Abwicklung der Zahlung nutzt, so suggeriert die Werbung, muss sich eigentlich um nichts mehr Gedanken machen. Das Vertrauen von mehr als 90.000 Nutzern seines Bonusprogramms „Priceless Specials“ in Deutschland hat das Unternehmen nach einer Datenpanne vor bald zwei Jahren hingegen verloren.

Im Sommer 2019 kursierten persönliche Daten wie Anschrift, Kontonummer, Telefonnummern und Mailadressen von Mastercard-Kunden im Internet. Doch das Unternehmen wollte keine Verantwortung übernehmen. Mastercard schob die Schuld für das Datenleck auf seine Drittpartner, insbesondere Banken. Die Verbraucherzentralen rieten dazu, verdächtige Zahlungen gegenüber den Finanzinstituten anzuzeigen, nur so konnten Kunden verhindern, nicht auf einem möglichen Betrugsschaden sitzenzubleiben.

Tausende Betroffene gingen einen Schritt weiter. Sie verklagten Mastercard wegen des Datenschutzlecks auf Schadenersatz. Dabei berufen sie sich auf Artikel 82 der DSGVO, der Datenschutz-Grundverordnung, der bei schuldhaften Verstößen ein „angemessenes Schmerzensgeld“ vorsieht. In den Gerichtsverfahren, die häufig von Rechtsdienstleistern wie der Europäischen Gesellschaft für Datenschutz (EuGD), Rightnow oder Kleinfee begleitet werden, stehen Kläger jedoch vor zwei Problemen. So legt Mastercard nur äußerst ungern Verträge zu den Drittpartnern offen, berichten Anwälte. Auf diese Interna haben die Verbraucher im Regelfall keinen Zugriff.

Klare Linie in Rechtsprechung fehlt

Außerdem zeichnet sich an den Gerichten keine klare Linie ab. Für viele Zivilrichter ist die DSGVO ein völlig neues Feld. Wer einen Schadenersatz von Mastercard erstreiten wolle, der über die „Bloßstellung“ seiner Daten im Internet hinausgehe, müsse das gut begründen, heißt es in einigen Klageabweisungen – die deutsche Ziviljustiz fremdelt noch mit einem Schadenersatzanspruch nach einem Datenleck.

Für Klarheit soll nun der Bundesgerichtshof (BGH) sorgen. Wie die F.A.Z. vorab erfahren hat, muss sich das höchste deutsche Zivilgericht erstmals mit der Materie beschäftigen. Eine betroffene Mastercard-Kundin hat Revision gegen eine Entscheidung des Oberlandesgerichts Stuttgart von Ende März eingelegt (Az.: 9 U 34/21). Der Stuttgarter Senat verwehrte der Frau zwar eine Entschädigung. Aber das OLG wollte die offenen Fragen für bereits anhängige DSGVO-Schadenersatzklagen höchstrichterlich geklärt haben, insbesondere zur Beweislastumkehr.

„Solche Schadenersatzansprüche spielen nach dem Willen des europäischen Gesetzgebers – neben den durch die DSGVO drohenden und in einigen Fällen auch festgesetzten Bußgeldern in Millionenhöhe – eine zentrale Rolle, um das Ziel eines wirksamen Datenschutzes in der EU zu erreichen“, sagt Thomas Bindl vom Rechtsdienstleister EuGD, der das Verfahren in Stuttgart begleitete. Im vorliegenden Fall sehe man einen solchen Verstoß als gegeben an. Für die Revision in Karlsruhe sei man zuversichtlich, betonte Bindl. Der Rechtsanwalt der Mastercard-Kundin, Daniel Raimer, stellt die grundsätzliche Klärung von entscheidungsrelevanten Fragen in den Vordergrund. Sie sei, auch im Hinblick auf andere aktuelle Fälle von Datendiebstahl, dringend nötig, erklärte Raimer.

Wirkung der Revision auf andere Verfahren

Beim Rechtsdienstleister EuGD, über dessen Portal dem Vernehmen nach rund 2000 Geschädigte Ansprüche gegen Mastercard geltend machen, geht man jedenfalls von einer Signalwirkung der Revision aus. Andere Gerichte könnten nun Prozesse aussetzen und auf eine Ansage des BGH warten. Schützenhilfe für Klagen nach Datenschutzverstößen lieferte erst vor wenigen Wochen ein anderes Gericht mit Sitz in Karlsruhe.

Mit einem Beschluss machte das Bundesverfassungsgericht klar, dass deutsche Gerichte DSGVO-Schadenersatzansprüche nicht allein deshalb abweisen dürfen, weil sie nur Bagatellen betreffen. Stimmt nun der BGH einer Beweislastumkehr zugunsten der von Datenlecks Betroffenen zu, wird das die Klagen gegen Unternehmen erleichtern. Damit dürfte die Zahl der DSGVO-Verfahren stark zunehmen.