Ein Anspruch auf Schadensersatz nach Art. 82 DSGVO besteht nicht, wenn die betreffende E-Mail-Adresse bereits Teil eines früheren Datenleaks war (OLG Dresden, Beschl. v. 08.01.2025 - Az.: 4 U 812/24).
Die Klägerin machte datenschutzrechtliche Schadensersatzansprüche gegen die Beklagte geltend, weil es im Juni 2020 zu einem Datenschutzverstoß (u.a. ihre E-Mail-Adresse) gekommen war. Sie vertrat den Standpunkt, dassihr ein immaterieller Schaden in Form eines Kontrollverlustes und der Sorge vor Datenmissbrauch entstanden sei.
Dies ließ das OLG Dresden nicht geltend.
Es fehle an dem Nachweis eines Schadens, denn die besagte E-Mail-Adresse sei bereits mehrfach zwischen 2008 und 2019 durch andere Datenschutzverstöße von Dritten offengelegt worden. Daher sei nicht belegt, dass der aktuelle Vorfall aus dem Jahr 2020 einen neuen Kontrollverlust verursacht habe:
"Ein Schaden in Form eines Kontrollverlustes sowie in Form einer in der konkreten Person der Klagepartei begründete Befürchtung, dass seine Daten von Dritten missbräuchlich verwendet werden, liegt hier aber schon deshalb nicht vor, weil die E-Mail-Adresse der Klagepartei bereits siebenmal vor dem Datenschutz Vorfall im Juni 2020 von Datenschutz Vorfällen betroffen war.
Ausweislich dem von der Klagepartei vorgelegten Ausdruck aus der Webseite www.haveibeenpwnd.com (Anlage K1) war die e-mail Adresse (u.a. neben Benutzernamen, Passwörtern) der Klagepartei im Jahr 2008 (MySpace), im März 2012 (Last.fm), im Juni 2014 (MangaTraders), Ende 2015 (Nihonomaru), im Juni 2017 (Stracks) und Mitte 2019 (LiveJournal) von Datenschutz Vorfällen betroffen.
Zwar steht das Risiko, dass auch Dritte das Datum nicht datenschutzkonform verarbeitet haben der Darlegung eines Kontrollverlustes nicht entgegen (…).
Dies gilt jedoch nur solange sich dieses nicht unstreitig vor dem Eintritt des Datenschutz Vorfalls verwirklicht hat (….). Im vorliegenden Fall hat die Klagepartei die Kontrolle über ihre E-Mail-Adresse schon viele Jahre vor dem Datenschutz-Vorfall durch insgesamt sieben andere Datenschutz-Vorfälle verloren."
Und weiter:
"Unter diesen Umständen kann auch ohne Anhörung der Klagepartei nicht angenommen werden, dass ihre Befürchtung, ihre E-Mail-Adresse könne missbräuchlich verwendet werden, konkret auf den Datenschutzvorfall im Juni 2020 bei der Beklagten zurückzuführen ist.
Denn im Hinblick auf die bereits zwischen 2008 und 2019 eingetretenen Kontrollverluste, ist nicht plausibel, dass die Befürchtung des Missbrauches der Daten durch den Datenschutz-Vorfall im Juni 2020 ausgelöst worden sein soll."