8 U 11/23

Leitsatz: Ein erfolgreicher Hackerangriff allein begründet keinen Datenschutzverstoß, wenn der Verantwortliche nachweist, dass die zum Zeitpunkt des Vorfalls eingesetzten technischen und organisatorischen Maßnahmen dem Stand der Technik sowie den Anforderungen des Art. 32 VO (EU) 2016/679 entsprachen.(Rn.20) 1. Die Berufung der Klägerin gegen das Urteil des Landgerichts Berlin II vom 21.12.2022, Aktenzeichen 29 O 116/21, wird zurückgewiesen. 2. Die Klägerin hat die Kosten des Berufungsverfahrens zu tragen. 3. Das in Ziffer 1 genannte Urteil des Landgerichts Berlin II ist ohne Sicherheitsleistung vorläufig vollstreckbar. Die Klägerin kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des zu vollstreckenden Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet. 4. Der Streitwert für das Berufungsverfahren wird auf 84.500,00 € festgesetzt. I. Die Berufung der Klägerin richtet sich gegen das am 21.12.2022 verkündete Urteil der Zivilkammer 29 des Landgerichts Berlin - 29 O 116/21, mit dem die Klage auf Auskunft sowie auf Zahlung von Schadensersatz nebst vorgerichtlicher Rechtsanwaltskosten nach einem im Jahr 2019 aufgedeckten Datenleck bei der von der Beklagten betriebenen App Dxxxxxxxx abgewiesen worden ist. Hinsichtlich der Einzelheiten des Sach- und Streitstandes und der Anträge im ersten Rechtszug wird auf die tatsächlichen Feststellungen in dem Tatbestand und den Entscheidungsgründen des angefochtenen Urteils Bezug genommen. Mit der Berufung verfolgt die Klägerin ihre erstinstanzlichen Anträge weiter. Zur Begründung trägt sie unter teilweiser Wiederholung und Vertiefung ihres erstinstanzlichen Vortrags vor: Das Urteil des OLG Stuttgart vom 31. März 2021, 9 U 34/21, könne hier nicht zur Begründung der Rechtsansicht des Landgerichts herangezogen werden. Denn dieses habe in der genannten Entscheidung erkannt, dass die dortige Beklagte im Rahmen der sekundären Darlegungs- und Beweislast die Sicherungsmaßnahmen, welche zum Zeitpunkt des Kopierens für die Sicherung der streitgegenständlichen Daten zur Anwendung kamen, konkret benennen müsse. Die hiesige Beklagte sei hingegen ihrer sekundären Darlegungs- und Beweislast hinsichtlich der konkret zu benennenden Sicherheitsmaßnahmen nicht nachgekommen. Bereits die unstrittige Tatsache, dass Dritten das widerrechtlich erfolgte Kopieren der hier streitgegenständlichen personenbezogenen Daten möglich gewesen sei, belege, dass die Sicherheitsmaßnahmen im IT-System der Beklagten nicht ausreichend gewesen seien und damit ein Verstoß gegen Art. 32, 24 und 5 DS-GVO vorliege. Denn wenn die Sicherheitsmaßnahmen der Beklagten im Sinne der vorgenannten Artikel ausreichend und damit auch angemessen im Sinne des Art. 32 DS-GVO gewesen wären, so wäre das Kopieren verhindert worden. Weiterhin stelle ein Verstoß gegen die Pflicht der unverzüglichen Benachrichtigung des Betroffenen einen Datenschutzverstoß im Sinne der Art. 34, 82 DS-GVO dar, weil eine längerfristige Untätigkeit des Verantwortlichen zu einer Risikoerhöhung – z.B. durch in Unkenntnis der Datenpanne nicht geänderte Passwörter – und darauf aufbauend zu erheblichen Schäden führen könne. Auch hinsichtlich der Fragestellung, ob die Beklagte den bei ihr vorliegenden Datenschutzverstoß unverzüglich meldete, gelte eine Umkehr der Darlegungs- und Beweislast, denn die Beklagte habe das überragende Wissen und es könne ihr auch zugemutet werden, diese Information zu erteilen. Auch die Zerstörung der Dateien, welche die Beklagte vom Dienstleister angekauft habe, stelle einen Datenschutzverstoß dar. Hierdurch habe sie wissentlich verhindert, dass sich die Zedenten hinsichtlich der konkreten betroffenen Daten oder auch hinsichtlich des Risikos, welches sich aus einem möglichen Missbrauch durch die Internetkriminellen ergeben könnte, schützen konnten. So könnte die Beklagte möglicherweise weitere personenbezogenen Daten der Zedenten in der Datenbank auf den Unternehmensserver hinzu gespeichert haben, wodurch die Anzahl der potentiellen Missbrauchsmöglichkeiten noch erhöht worden wäre. Die Klägerin beantragt, unter Abänderung des erstinstanzlichen Urteils des Landgerichts Berlin 29 O 116/21, verkündet am 21.12.2022, die Beklagte zu verurteilen, 1. ihr bezüglich sämtlicher in Anlage K1 und K8 genannten betroffenen Nutzern der Dxxxxxxx App Auskunft zu erteilen über sämtliche bei der Beklagten vorhandenen oder gespeicherten personenbezogenen Daten, die im Rahmen der Datenverarbeitung bei der Nutzung der App Dxxxxxxx vom Datensicherheitsvorfall, über den die Beklagte die Nutzer am 14.02.2019 informierte, betroffen waren – einschließlich der Daten in der App, der dahinterliegenden Datenbank oder den Servern inklusive der Administration der Benutzerkonten; 2. die Beklagte zu verurteilen, weiterhin Auskunft zu erteilen, wann der im Antrag zu 1. genannte Datensicherheitsvorfall, über den die Beklagte die Nutzer am 14.02.2019 informierte, im Unternehmen der Beklagten erstmals bekannt wurde; 3. die Beklagte zu verurteilen, nach Auskunftserteilung und Ermittlung des Umfanges der vom Datenschutzverstoß betroffenen personenbezogenen Daten gemäß dem Antrag zu 1. an die Klägerin einen in das Ermessen des Gerichts gestellten Schadensersatz, aber mindestens 1.500,00 €, nebst Zinsen in Höhe von 9 Prozentpunkten über dem jeweiligen Basiszinssatz auf den jeweils zuerkannten Betrag seit dem 01.04.2021 sowie mindestens weitere 18.000,00 Euro nebst Zinsen in Höhe von 9 Prozentpunkten über dem jeweiligen Basiszinssatz auf den jeweils zuerkannten Betrag ab dem Zeitpunkt der Rechtshängigkeit der Klageerweiterung zu zahlen; 4. die Beklagte zu verurteilen, an die Klägerin die vorgerichtlichen Rechtsanwaltskosten ihrer Prozessbevollmächtigten in Höhe von 261,30 € zu zahlen; 5. hilfsweise, die Klägerin von diesen Rechtsanwaltskosten freizustellen. Die Beklagte beantragt, die Berufung zurückzuweisen. Sie verteidigt das angefochtene Urteil unter teilweiser Wiederholung und Vertiefung ihres erstinstanzlichen Vortrags. Ergänzend legt sie die „Final Decision“ der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 13.07.2020 (Bd. III Bl. 64 ff. d.A.) vor. II. Die Berufung gegen das Urteil des Landgerichts Berlin II vom 21.12.2022, Aktenzeichen 29 O 116/21, ist gemäß § 522 Abs. 2 ZPO zurückzuweisen, weil nach einstimmiger Auffassung des Senats das Rechtsmittel offensichtlich keine Aussicht auf Erfolg hat, der Rechtssache auch keine grundsätzliche Bedeutung zukommt, weder die Fortbildung des Rechts noch die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts erfordert und die Durchführung einer mündlichen Verhandlung über die Berufung nicht geboten ist. Zur Begründung wird zur Vermeidung von Wiederholungen auf die vorausgegangenen Hinweise des Senats vom 09.02.2024, 12.04.2024 und 18.04.2024 Bezug genommen. An der in diesen Hinweisen dargestellten Beurteilung hält der Senat nach erneuter Prüfung und Beratung unter Berücksichtigung der Stellungnahmen der Klägerin vom 23.02.2024 (richtig: 02.04.2024 und 17.04.2024) und vom 02.05.2024 (richtig: 21.05.2024) fest. Hierzu im Einzelnen: 1. Die - wie die Klägerin zu Recht ausführt - nach dem EuGH-Urteil vom 23.12.2023 - C-340/21 -, DB 2014, 246ff. insoweit beweisbelastete Beklagte hat entgegen der Stellungnahmen der Klägerin durchaus den Beweis dafür erbracht, dass ihre Datensicherung zum Zeitpunkt vor dem hier streitgegenständlichen Datenschutzvorfall den Anforderungen des Art. 32 Abs. 1 DS-GVO entsprach. Wie in dem Hinweisbeschluss vom 23.02.2024 ausgeführt, hat die Klägerin bereits erstinstanzlich im Schriftsatz vom 06.04.2022 ausführlich vorgetragen, dass und mit welchen einzelnen Schritten sie nach Bekanntwerden des Vorfalls am 08.02.2019 mit einem beauftragten Unternehmen für digitale Forensik die Ursache des Vorfalls zu ermitteln suchte, und dargelegt, dass sich im Rahmen dieser Untersuchungen keine Hinweise auf Sicherheitsmängel ergeben hätten (Bd. I Bl. 161-163 d.A.). In der mit der Berufungserwiderung als Anlage B5 vorgelegten Entscheidung (Final Decision) der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 13.07.2020 - die selbst unstreitig ist und daher nicht gemäß § 531 Abs. 2 ZPO verspätet sein kann - werden unter Ziffer 6. die von der Beklagten dargestellten Untersuchungsmaßnahmen bestätigt. Auch bestätigt die Berliner Beauftragte für Datenschutz und Informationsfreiheit in dieser Entscheidung, dass keine Hinweise auf Sicherheitsmängel bei der Beklagten zum Zeitpunkt des Hackerangriffs bestehen, indem sie in Ziffer 7 im zweiten Satz keinerlei Datenschutzverstöße der Beklagten feststellt (siehe Final Decision Seite 4: "Furthermore, the Berlin DPA has not identified any data protection violations"). Dass sich dieser Satz nicht nur auf das Verhalten der Beklagten nach dem Hackerangriff bezieht, sondern maßgeblich auf den Zeitpunkt des Hackerangriffs, folgt aus der Gesamtschau von Ziffer 7 der Entscheidung der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Denn im ersten Satz der Ziffer 7 trifft diese die Entscheidung, in Bezug auf Art. 33 und 34 der DS-GVO die Untersuchung abzuschließen, mithin hinsichtlich der Prüfung der Maßnahmen der Beklagten nach dem Hackerangriff, und im zweiten Satz von Ziffer 7 wird ausgeführt, dass von der Berliner Beauftragten für Datenschutz und Informationsfreiheit darüber hinaus (“furthermore“, adv., engl. = darüber hinaus, außerdem, des Weiteren) keine Datenschutzverstöße der Beklagten festgestellt wurden. Damit bezieht sich Ziffer 7 Satz 2 erkennbar nicht auf die Sicherungsmaßnahmen der Beklagten nach dem Hackerangriff, die Gegenstand von Ziffer 7 Satz 1 sind, sondern auf die Sicherungsmaßnahmen im Vorfeld und bei dem Hackerangriff. 2. Die von der Berliner Beauftragten für Datenschutz und Informationsfreiheit ausgestellte, eine amtliche Entscheidung enthaltende öffentliche Urkunden begründet den vollen Beweis ihres Inhalts, § 417 ZPO, auch wenn sie in englischer Sprache verfasst ist. Zwar ist die Gerichtssprache gemäß § 184 GVG deutsch. Diese zwingende Regelung gilt aber unmittelbar nur im Hinblick auf Erklärungen des Gerichts und Erklärungen gegenüber dem Gericht, nicht jedoch für Beweismittel. In Rechtsprechung und Schrifttum ist demgemäß anerkannt, dass fremdsprachige Urkunden nicht allein deshalb unbeachtlich sind, weil sie nur in der Originalsprache, nicht jedoch in einer Übersetzung vorgelegt werden (vgl. OLG Hamburg, Urteil vom 12. Juli 2007 – 3 U 39/07 –, juris Rn. 43). Das Gericht darf, wenn alle erkennenden Richter die Sprache verstehen, ohne Rücksicht auf den Gegner von Anordnung einer Übersetzung einer fremdsprachlichen Urkunde absehen (s. BGH, Beschluss vom 02.03.1988 - IVb ZB 10/88, NJW 89, 1432, 1433; Zöller/Greger, ZPO, 35. Auflage 2024, § 142 ZPO Rn. 17). Da die hier entscheidenden Mitglieder des Senats der englischen Sprache hinreichend mächtig sind, um die in englischer Sprache verfasste Entscheidung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 13.07.2020 in Gänze zu verstehen, musste keine Übersetzung dieses Dokuments angeordnet werden. 3. Dieser von der Beklagten erbrachte Beweis ist nicht dadurch entkräftet, dass es zu einem erfolgreichen Hackerangriff gekommen ist. Wie im Senatsbeschluss vom 09.02.2024 unter Ziffer II A. 1. c) aa) ausgeführt, indiziert ein solcher Angriff noch keine Sicherheitsmängel beim Verantwortlichen i.S.d. DS-GVO. Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO. Die Feststellung zur vorläufigen Vollstreckbarkeit des angefochtenen Urteils erfolgte gemäß §§ 708 Nr. 10, 711 ZPO. Der Streitwert für das Berufungsverfahren wurde in Anwendung der §§ 47, 48 GKG bestimmt.