LG Köln, Az. 28 O 328/21 vom 18.05.2022 (Urteil)

Gegenstand

1.200 € Schadensersatz wegen Verstoß gegen die DSGVO. Hier: Unberechtigter Zugriff auf Nutzerdaten eines Online Finanzdienstleisters; Art. 82 DSGVO.

Tenor

Die Beklagte wird verurteilt, an den Kläger 1.200 Euro [X.] Zinsen in Höhe von fünf Prozentpunkten über dem jeweils geltenden Basiszinssatz seit dem 25.10.2021 zu zahlen.

Die Kosten des Rechtsstreits trägt die Beklagte.

Das Urteil ist vorläufig vollstreckbar. Die Beklagte kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht der Kläger vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrags leistet.

Tatbestand

Der Kläger begehrt von der [X.] Schadensersatz wegen eines angeblichen Verstoßes gegen die Vorschriften der Verordnung ([X.]) 2016/679 des [X.] und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/[X.] – sogenannte Datenschutz-Grundverordnung (im Folgenden: DSGVO).

Die Beklagte erbringt Wertpapierdienstleistungen, insbesondere in Form der individuellen Vermögensverwaltung für Privatkunden, sowie [X.]. Zusätzlich bietet sie [X.] an und vermittelt Tages-, Fest- und [X.]. Der Kläger ist Kunde der [X.] und unterhält ein Kundenkonto bei dieser. In diesem Zusammenhang stellte er der [X.] unter anderem die folgenden personenbezogenen Daten zur Verfügung: Vor- und Nachname, Titel, Anschrift, Geburtsdatum, Geburtsort, Geburtsland, Staatsangehörigkeit, E-Mail-Adresse, Telefon/Mobilfunknummer, Familienstand, Steuerliche Ansässigkeit, Steuer-ID und Bankverbindung. Im Rahmen der Registrierung als Neukunde führte der Kläger ein sogenanntes Post-Ident-Verfahren durch, welches die folgenden personenbezogenen Daten zum Gegenstand hat: Ausweisnummer, Datum der Ausstellung, ausstellende Behörde und Ausstellungsland des Personalausweises oder Reisepasses.

Am 19.10.2020 erhielt der Kläger eine E-Mail von der [X.] mit dem Hinweis auf eine Benachrichtigung, die er in seinem Postfach im [X.] abrufen könne. In dieser Benachrichtigung informierte die Beklagte den Kläger darüber, dass der Schutz seiner personenbezogenen Daten durch einen unrechtmäßigen Zugriff verletzt worden sei. Der Zugriff auf einen Teilbestand von Dokumenten im digitalen Dokumentenarchiv sei „unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechend gesicherte Zugänge verfügbar ist“ erfolgt, jedoch nicht durch die Ausnutzung einer unmittelbar von außen ausnutzbaren technischen Sicherheitslücke. Die in den Dokumenten enthaltenen personenbezogenen Daten des [X.] seien von dem Vorfall betroffen. Es handle sich um folgende Kategorien personenbezogener Daten: Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontenverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer). Zu den möglichen Folgen des Vorfalls erklärte die Beklagte, mit Hilfe der Daten könne versucht werden, die Betroffenen zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen. Weiterhin könne es mit Hilfe der Daten zu [X.] kommen. Wegen der weiteren Einzelheiten wird auf die Anlage [X.], [X.]. 24 f. d.A. Bezug genommen.

Der unbefugte Zugriff auf die Daten des [X.] war den [X.]ern mittels Zugangsdaten möglich, die infolge eines Cyber-Angriffs auf die Fa. [X.] Inc. erlangt worden waren. Hierbei handle es sich um ein weltweit tätiges Unternehmen, das „Software as a Service“-Lösungen für Unternehmen unterschiedlicher Größen und Branchen anbiete und welches bis 2015 in vertraglichen Beziehungen zu der [X.] stand. Im Rahmen der Vertragsbeziehung waren der Fa. [X.] die Zugangsdaten zugänglich gemacht worden. Eine Abänderung der Daten nach Ende der Vertragsbeziehung erfolgte [X.] nicht, ebensowenig eine Überprüfung einer Löschung der Daten bei [X.] durch die Beklagte.

Die Beklagte richtete nach diesem Vorfall auf ihrer Internetseite eine Sonderseite zu „häufig gestellten Fragen zum [X.] bei S. [X.]" ein, welche unter der URL [[X.] abgerufen werden kann.

Dort berichtete sie unter der Frage „Sind meine Daten verwendet worden?“, dass einige Kunden unter Verwendung der Daten von Dritten kontaktiert worden seien und Dritte auch zu Journalisten unter Bezugnahme auf den Vorfall Kontakt aufgenommen hätten. Weiter erklärte die Beklagte auf dieser Seite, dass der unbefugte Zugriff auf ihr digitales Datenarchiv anlässlich einer Kundenanfrage am 16.10.2020 festgestellt worden sei und zu drei [X.]punkten im [X.]raum von April bis Oktober 2020 stattgefunden habe. Von diesem unbefugten Datenzugriff seien insgesamt etwa 33.200 Kunden der [X.] betroffen gewesen. Wegen der weiteren Einzelheiten wird auf die Anlage [X.], [X.]. 26 ff. d.A. Bezug genommen.

Nach Bekanntwerden des [X.] ergriff die Beklagte umfangreiche IT-technische Sofortmaßnahmen, um weitere unberechtigte Zugriffe zu vermeiden, und wandte sich am 19.10.2020 an die zuständigen Behörden, u.a. erstattete sie Strafanzeige bei der Staatsanwaltschaft [X.] I.

Im November 2020 nahm der Kläger das Angebot der [X.] an, sich als von dem unbefugten Datenzugriff betroffener Kunde kostenfrei für den Identitätsschutz „meine S. P. zu registrieren. Gegenstand des Angebots war die Kostenübernahme durch die Beklagte für das erste Vertragsjahr sowie die Aktivierungsgebühr in Höhe von 9,95 [X.]R. Bei Nutzung der Dienste über das erste Vertragsjahr hinaus verlängerte sich der Vertrag automatisch um ein weiteres Jahr zu einem Preis in Höhe von monatlich 4,95 [X.]R (Anlage [X.], [X.]. 30 f. d.A.).

Der Kläger behauptet, im Rahmen des bei der Registrierung als Neukunde durchgeführten [X.] werde eine digitale Kopie des Personalausweises oder Reisepasses angefertigt. Angesichts des Missbrauchsrisikos hinsichtlich seiner Daten überprüfe der Kläger seit dem Datenvorfall jeden E-Mail- und Rechnungseingang – insbesondere im Zusammenhang mit Online-Käufen – sowie sämtliche Kontobewegungen auf verdächtige Bewegungen. Ihn begleite seit dem Datendiebstahl ein beständiges Gefühl der Unsicherheit.

Der Kläger ist der Auffassung, die Beklagte habe seine personenbezogenen Daten nicht in einer Weise verarbeitet, die eine angemessene Sicherheit der Daten gewährleiste. Anderenfalls wäre ein unbefugter Zugriff auf eine so große Anzahl sensibelster personenbezogener Daten mittels unternehmensinterner Zugangsinformationen nicht möglich gewesen. Falls die Beklagte ein Berechtigungskonzept gehabt habe, sei dieses ungenügend und die Daten nicht ausreichend segmentiert gewesen. Auch wäre es bei Implementierung angemessener Sicherheitsmaßnahmen nicht möglich gewesen, dass eine solch große Menge an Daten unbemerkt bewegt wird, ohne dass dies sofort auffalle. Die Beklagte habe selbst angegeben, dass der unbefugte Zugriff erst durch eine Kundenanfrage bemerkt worden sei. Dafür, dass zum [X.]punkt des unbefugten Zugriffs keine hinreichenden Sicherheitsmaßnahmen implementiert gewesen seien, spreche auch die Tatsache, dass die Beklagte nach dem Sicherheitsvorfall Maßnahmen ergriffen habe, um die unrechtmäßigen Zugriffe auf die Daten auszuschließen.

Weiter meint der Kläger, er habe aufgrund des unbefugten Zugriffs einen irreversiblen Schaden erlitten. Aufgrund des mit dem [X.] einhergehenden Risikos des [X.] stehe fest, dass die betroffenen Daten der Kontrolle des [X.] nunmehr dauerhaft entzogen seien. Insbesondere handle es sich dabei auch um Daten, die im Laufe des Lebens gerade keiner Änderung unterliegen, was bedeute, dass selbst durch einen Umzug oder den Wechsel der E-Mail- Adresse und der Handynummer der [X.] nicht ausgeglichen werden könne. Der Kläger müsse täglich damit rechnen, dass Dritte in seinem Namen Verträge schließen oder Zahlungen veranlassen. Er müsse damit leben, dass Daten, die typischerweise ausschließlich der Identifikation des [X.] dienen (wie Geburtsdatum und -ort), irgendwo im [X.] kursierten. Die durch den [X.] veranlasste akribische Kontrolle sämtlicher Kontobewegungen und Briefe sowie E-Mails bedeute eine irreversible Einschränkung für die Teilnahme des [X.] am Rechts- und Geschäftsverkehr, die auch durch die Inanspruchnahme von Diensten, wie etwa „meine Schufa plus“ nicht hinreichend ausgeglichen werden könne. Die Gefahr des [X.] verringere sich auch nicht im Laufe der [X.], weil die Daten auch nach Jahrzehnten noch im [X.] kursierten und dort verkauft würden. Daran, dass andere Betroffene bereits [X.] erhalten hätten, zeige sich, dass die Daten bereits in den Händen Krimineller seien. Der Kläger müsse dauerhaft damit leben, dass sich das Risiko eines [X.] realisieren könnte. Die Entwendung seiner Telefonnummer und E-Mailadresse seien per se mit dem Risiko verbunden, dass diese für Spam-Nachrichten genutzt würden. Dem durch einen Wechsel zu begegnen bedeute einen immensen Aufwand und einen teilweisen Verlust der Erreichbarkeit.

Schließlich ist der Kläger der Ansicht, er habe durch den [X.] auch einen Schaden dahingehend erlitten, dass ihm in diesem Zusammenhang ein enormer persönlicher Aufwand entstanden sei, etwa durch die eigene Auseinandersetzung mit der Materie, eigene Recherchen, die Überprüfungsmaßnahmen des eigenen Kontos sowie die Nutzung des Dienstes „meine S[xxx] plus“.

Der Kläger beantragt,

die Beklagte zu verurteilen, an den Kläger einen angemessenen immateriellen Schadenersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, jedoch mindestens [X.]R 5.001,00, [X.] Zinsen in Höhe von fünf Prozentpunkten über dem jeweils geltenden Basiszinssatz seit Rechtshängigkeit (25.10.2021) zu zahlen.

Die Beklagte beantragt,

die Klage abzuweisen.

Sie behauptet, die von dem Datenvorfall betroffenen Daten des [X.] seien bereits Gegenstand früherer [X.] gewesen, die sich bei anderen Unternehmen zugetragen hätten. Der Personalausweis des [X.] sei nicht wegen der Art der Identifizierung des [X.] über das Post-Ident-Verfahren von dem Datenvorfall betroffen gewesen. Insbesondere sei die Nummer des Personalausweises nicht betroffen gewesen. Die Beklagte habe über keine Kopie des Ausweises verfügt. Weiter behauptet die Beklagte, auch die im Rahmen einer Geeignetheitsprüfung erfassten Informationen sowie – mit Ausnahme der IBAN des Referenzkontos – Daten über das Wertpapierdepot oder Verrechnungskonto seien nicht betroffen gewesen. Der Kläger habe lediglich [X.] in Anspruch genommen, sodass eine Geeignetheitsprüfung nicht stattgefunden habe. Eine Zugriffsmöglichkeit auf [X.] habe zu keinem [X.]punkt bestanden, sodass das Vermögen des [X.] bei der Depotbank zu keinem [X.]punkt gefährdet gewesen sei.

Die Beklagte bestreitet mit Nichtwissen, dass der Kläger sämtliche E-Mail- und Rechnungseingänge sowie Kontobewegungen auf verdächtige Bewegungen überprüfe. Weiter bestreitet sie, dass sich Dritte die Identität des [X.] angeeignet hätten, der Kläger seine E-Mail-Adresse und Handynummer nicht von Spam freihalten könne und er im Zusammenhang mit dem Datenvorfall den von ihm vorgetragenen „persönlichen Aufwand“ betrieben habe. Mit Nichtwissen bestreitet die Beklagte zudem, dass andere Betroffene [X.] erhalten hätten. Nach ihrer Kenntnis habe es lediglich in sehr geringer Anzahl Kontaktaufnahmen zu Kunden gegeben. Hierzu hätten die Ermittlungsbehörden die Vermutung geäußert, dass durch die Kontaktaufnahmen mit den Kunden seitens der Angreifer Druck auf die Beklagte ausgeübt werden sollte.

Die Beklagte ist der Auffassung, ihr falle kein Verstoß gegen die [X.]. Ihre technischen und organisatorischen Maßnahmen, zu denen sie im [X.] vorträgt, seien zu jeder [X.] und in jeder Hinsicht angemessen. Dies werde zum einen dadurch verdeutlicht, dass sie zum [X.]punkt des [X.] hinsichtlich ihres [X.]s über eine Zertifizierung durch den [X.] nach dem allgemein anerkannten [X.] verfügte. Zum anderen hätten die zuständigen Datenschutzbehörden weder nach dem [X.] noch zu einem anderen [X.]punkt ein Verfahren oder andere Maßnahmen aufgrund datenschutzrechtlicher Unzulänglichkeiten gegen sie eingeleitet.

Die Beklagte behauptet, sie nutze für die Abwicklung des gesamten [X.] eine sichere standardisierte IT-Infrastruktur mit u.a. Applikations- und Datenbankservern, Speicherkapazitäten, [X.] und Backup-Lösungen. Das von dem unbefugten Zugriff betroffene Dokumentenarchiv, in dem ein Teil der Kundendaten in getrennten Ordnern gespeichert gewesen sei, sei mittels des hochwirksamen [X.] (sog. [X.], also symmetrisches Verschlüsselungsverfahren) verschlüsselt. Damit seien Kundendaten im sog. „Ruhezustand“ permanent verschlüsselt. Diese dem Dokumentenarchiv zu Grunde liegende IT-Infrastruktur sei nach [X.] 27001:2013, 27017:2015, 27018:2019, [X.]/[X.] 9001:2015 und [X.] [X.] v3.0.1 zertifiziert. Die Beklagte verwalte Daten (einschließlich Kundendaten) entsprechend einer systemseitigen Vorgabe in separaten [X.], welche vollständig eigenständige Umgebungen mit jeweils eigenen [X.] darstellten. Auch die Verarbeitung der Kundendaten im betroffenen Dokumentenarchiv geschehe mit einer entsprechenden Segmentierung, also mittels getrennter Ordner, für die die Zugriffsrechte entsprechend eingeschränkt seien. Der Zugang durch einen Anwender erfordere stets die Eingabe der individuellen Zugangsdaten sowie aufgrund der vorgeschriebenen „[X.]“ die Eingabe eines weiteren [X.]. Der Zugriff auf die Daten selbst sei ferner ausschließlich im Umfang der dem jeweiligen Benutzer zuvor verliehenen Berechtigungen möglich. Die konkreten Berechtigungen eines Benutzers würden nach dem strikten „Need-to-Know“-Prinzip (Erforderlichkeitsgrundsatz) vergeben, also in Abhängigkeit davon, welche Berechtigungen der Anwender angesichts seiner Funktion tatsächlich benötigt. Das digitale Benutzermanagement wiederum, also die Einrichtung und Löschung von Benutzern sowie die Zuweisung individueller Zugriffsmöglichkeiten sei nur mit spezifischen, eingeschränkt vergebenen Berechtigungen möglich.

Die Beklagte behauptet weiter, sie habe im Übrigen weitere Sicherungsmechanismen, etwa in Form von gesicherten/verschlüsselten VPN-Verbindungen und „[X.]“ (Beschränkung des Zugangs auf bestimmte Endgeräte) vorgegeben.

Zudem verfüge die Beklagte über ein umfassendes, schriftlich fixiertes Informationsrisiko- und [X.]. Es sei in zahlreichen Regelwerken detailliert niedergelegt und regele insbesondere die Zugangs- und Zugriffskontrolle sowie die Verarbeitung von und den Umgang mit Kundendaten. Die Beklagte habe eine strenge Zugangs- und Zugriffskontrolle implementiert, welche eine [X.], detaillierte Regelungen zur Passwortvergabe und zum Umgang mit Passwörtern sowie ein granulares Rechte- und Rollenkonzept beinhalte, wonach Kundendaten die höchste verfügbare Sicherheitsstufe „Strictly Confidential“ zugewiesen sei. Die genannten Maßnahmen zur Zugangs- und Zugriffskontrolle würden regelmäßig auf Aktualität und Wirksamkeit geprüft. Der Zugriff u.a. auf das Dokumentenarchiv werde zudem durch Maßnahmen zur Erkennung, Überwachung und zeitnahen Reaktion kontrolliert. Insbesondere würden Zugriffe von Benutzern durch digitale Sicherheitsdienste geloggt und dokumentiert.

Ferner behauptet die Beklagte, sie weise ihre Mitarbeiter an, die zahlreichen vorhandenen Sicherheitsfeatures (wie Firewalls, Virenscanner, VPN-Verbindungen und Verschlüsselungsdienste) stets aktiviert zu halten und lediglich freigegebene Hard- und Software zu verwenden. Die Mitarbeiter würden regelmäßig hinsichtlich der [X.] geschult, was die IT- und Informationssicherheit sowie den Datenschutz umfasse. Auch würden die Mitarbeiter auf Meldepflichten, insbesondere im Hinblick auf [X.] aufmerksam gemacht. Die Beklagte lasse regelmäßig externe sowie interne Prüfungen und Audits durchführen, wie etwa Penetrations- und Applikationstests und Prüfungen im Rahmen der Re-Zertifizierung nach [X.] 27001:2013. Nach Auswertung der Ergebnisse dieser Prüfungen würden etwaige Optimierungsmaßnahmen umgesetzt, was wiederum mittels sogenannter „Re-Tests“ nachvollzogen und bewertet würde. Zum [X.]punkt des [X.] habe die Zertifizierung nach [X.] 27001:2013 für einen Gültigkeitszeitraum von 12.03.2018 bis 11.03.2021 vorgelegen (Anlage [X.], [X.]. 98 ff. d.A.). Anfang des Jahres 2021 habe die Beklagte trotz des [X.] nach erfolgreichem Re-Zertifizierungs-Audit ein neues Zertifikat erhalten (Anlage [X.], [X.]. 102 ff. d.A.). Der [X.] als unabhängige Prüfstelle habe der [X.] bescheinigt, dass „das Managementsystem der Organisation die Anforderungen der Norm(en) erfüllt und angemessen aufrechterhalten sowie umgesetzt wird“, „eine ausgereifte Vorgehensweise bei der Softwareentwicklung“ sowie ein „[h]ohes Sicherheitsbewusstsein der Beteiligten“.

Die Beklagte ist der Auffassung, sie sei „[X.]“ des Cyber-Angriffs auf [X.] , nicht hingegen eines „[X.]“ ihres Systems. Auch seien die unternehmensinternen Informationen nicht von einem (menschlicher) Benutzer, etwa einem Mitarbeiter der [X.], zur Verfügung gestellt worden. Das hätten die zuständigen Strafverfolgungsbehörden nach eingehender Ermittlung und Prüfung ausgeschlossen. Der unbefugte Zugriff sei auch trotz angemessener Sicherheitsvorkehrungen für die Beklagte nicht voraussehbar gewesen.

Wegen der näheren Einzelheiten des Sach- und Streitstands wird auf den Inhalt der zwischen den Parteien gewechselten Schriftsätze nebst Anlagen, die Gegenstand der mündlichen Verhandlung waren, Bezug genommen.

Entscheidungsgründe

I.

Die Klage ist zulässig. Das [X.] ist gemäß §§ 44 Abs. 1 S. 1 [X.], 12 ZPO örtlich zuständig.

II.

Die Klage ist teilweise begründet.

Der Kläger hat im tenorierten Umfang Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 [X.]. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Die [X.] hat dadurch, dass sie die der Fa. [X.] zur Verfügung gestellten Zugangsdaten nach Ende der Vertragsbeziehung nicht änderte, gegen ihre Verpflichtung aus Art. 32 [X.] sowie aus Art. 5 [X.] verstoßen. Nach Art. 32 [X.] haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) [X.] müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Die Kammer nimmt einen Verstoß gegen diese Vorgaben aufgrund des zwischen den Parteien unstreitigen Umstandes an, dass die der Fa. [X.] zur Verfügung gestellten Zugangsdaten nach Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden. Damit schuf die [X.] das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten, sondern auch durch von Seiten von Mitarbeitern der [X.] vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren. Die [X.] kann sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens [X.] dauerhaft und vollständig gelöscht werden würden (so auch in einem Parallelfall [X.], Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36). Jedenfalls wäre eine Überprüfung der Löschung angezeigt gewesen, die die [X.] aber ebenfalls nicht vorträgt.

Das der [X.]n anzulastende Versäumnis war – was ausreichend ist – jedenfalls mitursächlich für den dem Kläger entstandenen Schaden (vgl. [X.] a.a.[X.] Rn. 39).

Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 [X.]. Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen "physischen, materiellen oder immateriellen Schaden" darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem "im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht" und die "betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten". Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist ([X.] a.a.[X.] Rn. 41 mit [X.]).

Aufgrund des dem Kläger mit Schreiben vom 19.10.2020 mitgeteilten Umfangs der entwendeten persönlichen Daten geht die [X.] ausweislich dieses Schreibens selbst davon aus, dass versucht werden konnte, die Betroffenen zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, sowie dass die Gefahr bestand, dass es mit Hilfe der Daten zu [X.] kommen würde. Auf die weiteren, teilweise zwischen den Parteien streitigen, Umstände der tatsächlichen oder gefühlten Beeinträchtigung des Klägers durch den Vorfall kommt es nach Auffassung der Kammer vor diesem Hintergrund nicht maßgeblich an.

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt ([X.] a.a.[X.] Rn. 44 m.[X.]).

Hier war bei der Bemessung der Höhe zu berücksichtigen, dass ein Missbrauch der Daten zu Lasten des Klägers bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist. Wie vom [X.] a.a.[X.] zutreffend herausgearbeitet, muss allerdings auch die Absicht des EU-Verordnungsgebers berücksichtigt werden, mit Hilfe des Schadensersatzanspruchs eine abschreckende Wirkung zu erzielen. Zu Gunsten der [X.]n fällt allerdings – wie in der mündlichen Verhandlung bereits ausgeführt, ins Gewicht, dass der ihr zuzurechnende Datenschutzverstoß nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkten. Denn hinzu kam ein weiterer mindestens fahrlässiger Verstoß bei der Fa. [X.] sowie nicht zuletzt das vorsätzliche rechtswidrige Vorgehen der [X.] selbst. Zu berücksichtigen ist auch, dass die [X.] dem Kläger vorübergehend das „meine Schufa Plus“ Angebot finanzierte. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet die Kammer damit eine Schadensersatzzahlung in der tenorierten Höhe für angemessen.

Der Zinsanspruch ist aus §§ 291, 288 Abs. 1 BGB gerechtfertigt.

Da die Kammer nicht letztinstanzlich entscheidet, ist eine Vorabentscheidung des [X.] auch nach Maßgabe des Beschlusses des [X.] vom 14.1.2021 – 1 BvR 2853/19 – nicht erforderlich.