Mastercard muss keinen Schadensersatz in einem Prozess um das Datenleck seines Bonusprogramms zahlen. Das hat das Landgericht Karlsruhe am 9. Februar in einem Fall entschieden. In seiner Urteilsbegründung schreibt das Gericht, die Klage sei abgewiesen worden, weil es sich hier um einen „Bagatellschaden“ handele. Im dem Einzelfall hatte der Kläger 5.000 Euro von Mastercard gefordert.

Von dem Unternehmen hieß es auf Nachfrage von FinanzBusiness, man begrüße die Gerichtsentscheidung. Zu anderen laufenden Verfahren bezieht der Kreditkartenanbieter und Zahlungsdienstleister keine Stellung.

In einem Statement zum Datenleck hieß es zuvor: "Wir möchten betonen, dass dieser Vorfall keine Auswirkungen auf das Zahlungsnetzwerk von Mastercard hatte, da er auf das Priceless Specials Programm in Deutschland beschränkt war."

Sensible Kundendaten kursierten im Netz

Die Datenpanne bei Mastercard ist einer der größten Datenschutzvorfälle seit Einführung der Datenschutzgrundverordung (DSGVO), die neben dem Schutz von Daten auch ein Klagerecht bei Verstößen vorsieht.

Im August 2019 waren Namen, Kontonummern, Email-Adressen und in einigen Fällen auch Anschriften und Telefonnummern von Kunden des Mastercard Bonusprogramms "Priceless Specials" im Internet aufgetaucht.

"Dass der Kläger seine Kreditkarte häufig für Kleinbeträge bei Tankstellen nutzt, bei FastFood-Restaurants ißt und (teilweise in Frankreich) bei Discountern einkauft, ist derart alltäglich und unverfänglich, dass es sich insgesamt um einen Bagatellschaden handelt", schreiben die Richter nun in ihrem Urteil.

Tausende von Kunden wollen klagen

Mehr als 2.000 betroffene Mastercard-Kunden hatten sich nach Bekanntwerden des Datenlecks unter anderem bei der Europäischen Gesellschaft für Datenschutz mbH (EuGD) angemeldet, um ihre Ansprüche auf Schadensersatz prüfen zu lassen. Dort ist man über das Karlsruher Urteil wenig erfreut.

"Aus unserer Sicht ist diese Bewertung nicht nachvollziehbar – und auch nicht akzeptabel", heißt es von dem Klagevehikel. Die Argumentation des Gerichts, die erbeuteten Daten etwa bezüglich der Zahlung an einer Tankstelle seien „nicht kompromittierend“ und daher eine Bagatelle, unterhöhle den vom Gesetzgeber intendierten Schutz gerade personenbezogener Daten.

"Entweder wir schützen diesen Bereich oder wir schützen ihn nicht. Anderenfalls sehen wir den von der DSGVO vorgesehenen und beabsichtigten Schutz der Verbraucherrechte ad absurdum geführt", heißt es von der EuGD.

Professionelle Kläger stehen in den Startlöchern

Sogenannte Legal-Tech-Anbieter wie Kleinfee oder die EuGD stützen ihr Geschäftsmodell teils auf Klagen aus der DSGVO. Sie vertreten den Standpunkt, dass schon die Tatsache, das Unbefugte an persönliche Informationen gekommen sind, Grund genug ist, eine Art Schmerzensgeld zu fordern.

Auch beim Datenschutzvorfall von Scalable Capital haben die Klagevehikel wie berichtet bereits prozesswillige Kunden hinter sich gebracht.

Schludern beim Datenschutz ist kein Kavaliersdelikt

Da es sich bei Schadensersatzklagen, die sich auf die DSGVO berufen, noch um eine sehr junge Rechtsmaterie handelt, sind viele Grundsatzfragen auf diesem Gebiet noch ungeklärt.

Hoffnung könnte den Klägern ein Beschluss des Bundesverfassungsgerichts (BVerfG) geben. Dort stellten die Richter klar, dass eigentlich der Europäische Gerichtshof (EuGH) die Frage nach einer sogenannten Erheblichkeitsschwelle für DSGVO-Schadensersatzansprüche abschließend zu klären hat (Beschluss vom 14. Januar 2021, 1 BvR 2853/19). Damit ist absehbar, dass die kontrovers Frage, ob es sich bei DSGVO-Verstößen um Bagatellschäden handelt wohl durch in Brüssel entschieden wird.