OLG Düsseldorf: Probleme beim DSGVO-Unterlassungsanspruch gegen unsichere Datenverarbeitung durch Kreditkarten-Unternehmen Mastercard

Es besteht kein gerichtlicher durchsetzbarer DSGVO-Unterlassungsanspruch gegen die unsichere Datenverarbeitung durch das Kreditkartenunternehmen Mastercard, wenn das Begehren nicht hinreichend bestimmt ist (OLG Düsseldorf, Beschl. v. 07.11.2019 - Az.: I-16 W 67/19).

Der Antragsteller  war Kunde bei Mastercard.  Im Internet wurden im Internet unerlaubt eine Kundenliste veröffentlicht. Diese enthielt auch Daten zum Antragsteller (u.a. Name, KartenID und E-Mail).

Hiergegen ging der Antragsteller im Wege der einstweiligen Verfügung vor und wollte Mastercard verpflichten, nur noch eine sichere Datenverarbeitung zu betreiben.

Sowohl das LG Wuppertal (Beschl. v.  20.09.2019 - Az.: 3 O 322/19) als auch in der Beschwerdeinstanz das OLG Düsseldorf (Beschl. v. 07.11.2019 - Az.: I-16 W 67/19) lehnten den Antrag bereits aus formalen Mängeln ab. 

Das Vorbringen, so die Richter, sei zu unbestimmt:

"Das Bestimmtheitserfordernis eines auf Unterlassen gerichteten Antrages ist nur erfüllt, wenn das zu unterlassende Verhalten so konkret bezeichnet wird, dass der Antragsgegner sein Risiko erkennen und sein Verhalten darauf einrichten kann. (...).

Diesem Erfordernis ist der Antragsteller nicht hinreichend nachgekommen. Aus dem Antrag, der Antragsgegnerin die Verarbeitung von personenbezogenen Daten zu untersagen, ohne vorher risikoadäquate Maßnahmen zum Schutz dieser Daten zu ergreifen, ist nicht hinreichend ersichtlich, welche Maßnahmen die Antragsgegnerin konkret zur Erfüllung ihrer Pflicht zu ergreifen hat.

Ohne eine solche Konkretisierung ist für die Antragsgegnerin aber nicht klar, wann sie ihrer Pflicht genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde. Die Grenzen sind für sie in keiner Weise ersichtlich.

Zur Konkretisierung kann auch nicht auf die Antragsschrift zurückgegriffen werden. Zwar trägt der Antragsteller hier Möglichkeiten vor, wie ein Schutz der Daten erfolgen kann, räumt aber gleichzeitig ein, nicht genau zu wissen, wie es zu der Veröffentlichung der Daten gekommen ist. In diesem Zusammenhang ist bereits nicht klar, wer faktisch für das „Datenleck“ verantwortlich ist.

Folglich wird hierdurch auch nicht deutlich, welche Maßnahmen letztlich tatsächlich von der Antragsgegnerin veranlasst werden müssten bzw. einem adäquaten Schutz zum Erfolg verhelfen würden."