Datenmissbrauch aufgrund einer Sicherheitslücke des Treueprogramms „Priceless Specials“
Landgericht München I
Urteil vom 07.11.2019
Az.: 34 O 13123/19
Tenor
1. Der Antrag auf Erlass einer einstweiligen Verfügung wird zurückgewiesen.
2. Der Verfügungskläger hat die Kosten des Rechtsstreits zu tragen.
3. Das Urteil ist vorläufig vollstreckbar. Der Verfügungskläger kann die Vollstreckung der Verfügungsbeklagten durch Sicherheitsleistung in Höhe von 110% des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Verfügungsbeklagte vor der Vollstreckung Sicherheit in Höhe von 110% des zu vollstreckenden Betrags leistet.
Beschluss
Der Streitwert wird auf 1.500,– Euro festgesetzt.
Tatbestand
Der Verfügungskläger ist Inhaber einer Mastercard Kreditkarte und Teilnehmer des Bonusprogramms „Priceless Specials“ der Verfügungsbeklagten. Er begehrt von der Verfügungsbeklagten, einem Kreditkartenunternehmen, im Wege einer einstweiligen Anordnung die Unterlassung der Verarbeitung seiner personenbezogener Daten ohne ausreichende Vorkehrungen gegen Datenmissbrauch.
Die Internetplattform „Priceless Specials“ wird von der „…“, einem Dienstleister der Verfügungsbeklagten, technisch betreut und verwaltet, die jedoch gegenüber Nutzern im Hintergrund bleibt. Der Zugriff auf die Plattform erfolgt über eine URL der Verfügungsbeklagten (https. …specials.mastercard.de/), war aber auch über eine Seite der „…“ (https://…aspx) möglich.
Am 19.08.2019 gegen 17 Uhr erfuhr die Verfügungsbeklagte, dass personenbezogene Daten von etwa 90.000 Teilnehmern des Treueprogramms „Priceless Specials“ auf einer Internetseite öffentlich zugänglich waren. Am 22.08.2019 informierte die Verfügungsbeklagte den Verfügungskläger per E-Mail (Anlage ASt 4) darüber, dass es auf der „Priceless Specials“-Plattform einen Sicherheitsvorfall gegeben habe, der zur unbefugten Veröffentlichung der personenbezogenen Daten einiger ihrer Kunden im Internet geführt habe.
Auszugsweise heißt es in der Benachrichtigung:
„Was ist passiert? Unlängst haben wir erfahren, dass unser Dienstleister, der das Priceless Specials Programm betreibt, einen Sicherheitsvorfall erlitten hat, der zur unbefugten Veröffentlichung der personenbezogenen Daten einiger unserer Kunden im Internet führte. Wir haben Sie als eine der Personen identifiziert, deren personenbezogene Daten betroffen sein könnten.
Welche Informationen waren betroffen? Basierend auf den zu diesem Zeitpunkt bekannten Fakten sind die folgenden Daten betroffen: Name, Geburtsdatum, Geschlecht, Postanschrift, E-Mail-Adresse, Telefonnummer und möglicherweise Ihre Zahlungskartennummer, die Sie genutzt haben, um sich im Programm zu registrieren. Weder Ihre Anmeldedaten noch Ihre Passwörter wurden offengelegt. Das Ablaufdatum und die Prüfnummer (CVC) Ihrer Zahlungskarte wurden nicht offengelegt.“
Daraufhin kursierte im Internet eine Datei mit sensiblen Datensätzen von 90.000 Nutzern der „Priceless Specials“-Plattform. Dieser Datensatz beinhaltete eine teilweise verdeckte Version der Kreditkartennummer, Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse der jeweiligen Kartenbesitzer. Wenig später wurde – nach einem Bericht der … Zeitung (Anlage ASt 5) – eine zweite Datei mit den vollständigen Kreditkartennummern von 80.000 betroffenen Nutzern veröffentlicht. Als Reaktion hierauf hat die Verfügungsbeklagte die Internetseite zum Programm „Priceless Specials“ abgeschaltet, über die Internetseite der „…“ war ein Login zur „Priceless Specials“-Plattform bis zum 28.08.2019 möglich.
Mit Anwaltsschreiben vom 04.09.2019 (Anlage ASt 8) forderte der Verfügungskläger die Verfügungsbeklagte zur Abgabe einer strafbewehrten Unterlassungsverpflichtungserklärung bis 11.09.2019 auf. Eine Reaktion der Verfügungsbeklagten erfolgte hierauf nicht.
Der Verfügungskläger stützt seinen Antrag auf eine eidesstattliche Versicherung (Anlage ASt 1) sowie auf Ausdrucke von Dateien (Anlagen ASt 2 bis 7, 9 bis 11).
Der Verfügungskläger macht geltend, die Verfügungsbeklagte sei für die mangelnde Sicherheit der Datenverarbeitung verantwortlich. Als datenschutzrechtlich Verantwortliche sei die Verfügungsbeklagte Störerin. Als Verantwortliche sei sie verpflichtet, personenbezogene Daten in einer Weise zu verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung. Dieser Pflicht sei sie offenbar nicht ordnungsgemäß nachgekommen. Ihm stünden somit wegen der rechtswidrigen Verletzung seines Allgemeinen Persönlichkeitsrechts die geltend gemachten Unterlassungsansprüche aus § 1004 Abs. 1 S. 2 BGB i.V.m. § 823 Abs. 1 BGB sowie i.V.m. Art. 82 DS-GVO zu.
Die Eilbedürftigkeit ergebe sich daraus, dass sich der Verfügungskläger – wie jeder Internet-Nutzer – vor Identitätsdiebstählen schützen müsse. Es müsse davon ausgegangen werden, dass seine personenbezogenen Daten bei der Verfügungsbeklagten nicht sicher seien. Die Verfügungsbeklagte verfüge über zahlreiche weitere Informationen über den Verfügungskläger, wie etwa seine Einkaufsgewohnheiten. Selbst wenn die Daten des Verfügungsklägers in den bisher veröffentlichten Dateien noch nicht enthalten und die Daten nicht entwendet worden sein sollten, bestünde eine Erstbegehungsgefahr, da die Verfügungsbeklagte die Plattform „Priceless Specials“ über eine Woche nicht abgeschaltet habe, nachdem das Bestehen einer Sicherheitslücke bekannt gewesen sei. Es bestehe die Gefahr, zu weiteren Betroffenen zu gehören.
Die Verfügungsbeklagte habe sich wegen der besonderen Sensibilität der von ihr verwalteten Daten – wie alle anderen Kreditkartenunternehmen – dazu verpflichtet, den sogenannten „Payment Card Industry Data Securitiy Standard“ (kurz: PCI DSS) einzuhalten, also einen Branchenstandard, der für die personenbezogenen Daten der Kreditkartenunternehmen höchstmögliche Sicherheitsmaßnahmen vorsehe (Anlage ASt 9).
Eine Wiederholungsgefahr werde nicht bereits durch Einstellung des rechtswidrigen Verhaltens beseitigt, sondern durch Abgabe einer strafbewehrten Unterlassungserklärung oder durch ein gerichtliches Unterlassungsgebot. Zudem sei die „Priceless Specials“-Plattform mittlerweile schon wieder – unter einer anderen URL (https://….aspx) – erreichbar (Anlage ASt 10).
Der Verfügungskläger ist zudem der Auffassung, dass die Verfügungsbeklagte die Rechtslage verkenne, wenn sie behaupte, er begehre in der Sache eine Leistungsverfügung. Die Verfügungsbeklagte müsse nicht mehr tun, als die Plattform „Priceless Specials“ nicht im Internet freizuschalten, solange die Sicherheitslücke nicht identifiziert und behoben worden sei.
Der Verfügungskläger beantragt zuletzt,
Die Verfügungsbeklagte hat es bei Meidung von Ordnungsgeld bis zu 250.000 Euro, ersatzweise Ordnungshaft oder Ordnungshaft bis zu sechs Monaten, zu vollstrecken am satzungsmäßigen Vorstand, zu unterlassen, die Plattform „Priceless Specials“ zu betreiben, ohne die Sicherheitsmaßnahmen des PCI DSS-Standards einzuhalten, insbesondere die Plattform beim Bekanntwerden von Sicherheitslücken weiter zu betreiben.
Die Verfügungsbeklagte beantragt,
Zurückweisung des Antrags auf Erlass einer einstweiligen Verfügung.
Die Verfügungsbeklagte hatte bereits in einer Schutzschrift vom 12.09.2019, die dem Verfügungskläger zugeleitet wurde, beantragt, den Antrag auf Erlass einer einstweiligen Verfügung zurückzuweisen. Ferner hat die Verfügungsbeklagte mit Schriftsätzen vom 18.10.2019 und vom 30.10.2019 Stellung genommen.
Zudem wurde eine eidesstattliche Versicherung (Anlage AG 22) des bei der Verfügungsbeklagten für die Sicherheitsüberwachung zuständigen Vizepräsidenten … vorgelegt. Darin wird insbesondere bestätigt, dass die Daten des Verfügungsklägers nicht von dem Datenschutzvorfall betroffen sind und weder dessen Kreditkartendaten noch andere personenbezogene Daten veröffentlicht worden seien. Weiter liegt eine eidesstattliche Versicherung (Anlage AG 24) des Leiters der Abteilung Mastercard Data und Services … vor, in der inbesondere bestätigt wird, dass es sich bei der URL https://….aspx nur um eine Testumgebung ohne personenbezogene Daten handelt.
Die Verfügungsbeklagte macht im Wesentlichen geltend, innerhalb kürzester Zeit auf den Sicherheitsvorfall reagiert und die gebotenen Maßnahmen ergriffen zu haben. Die von dem Drittanbieter betriebene Webseite sei deaktiviert und die Daten würden nicht länger verarbeitet (Anlage AG 2). Alle datenschutzrechtlichen Vorgaben seien (über-)erfüllt worden. Dem Verfügungskläger sei kein Schaden entstanden, insbesondere seien dessen Daten nicht veröffentlicht worden.
Die Verfügungsbeklagte macht geltend, dass der Verfügungskläger, der zwar Nutzer der betroffenen Plattform sei, von dem streitgegenständlichen Datenschutzvorfall nicht betroffen sei. Die E-Mail vom 22.08.2019 habe der Verfügungskläger nur erhalten, weil diese als Vorsichtsmaßnahme an sämtliche Nutzer der Plattform übersandt worden sei. Es liege daher keine (drohende) Rechtsverletzung des Verfügungsklägers vor. Daten des Verfügungsklägers seien nie öffentlich gemacht worden und drohten auch nie veröffentlicht zu werden. Es fehle es bereits an einer Anspruchsgrundlage. Des Weiteren sei der Antrag zu unbestimmt, insbesondere dürfe der Antrag nicht so unbestimmt formuliert sein, dass es dem Vollstreckungsgericht überlassen bleibe, was der Verfügungsbeklagten aufzugeben sei. Weiter fehle es am Rechtsschutzbedürfnis, da der Verfügungskläger sein Begehren im Wege eines Löschungsantrags nach Art. 17 DS-GVO durchsetzen könne. Zudem habe der Verfügungskläger keine konkrete Gefahr und keine Wiederholungsgefahr dargelegt. Die Verfügungsbeklagte trägt vor, dass die Plattform und das Programm „Priceless Specials“ abgestellt worden seien. Ferner habe sie die „…“ angewiesen, die Internetseite des Programms aus dem Internet zu nehmen. Die Plattform sei derzeit offline und werde weiter offline bleiben, bis sichergestellt sei, dass kein vergleichbarer Zwischenfall auftreten könne. Die Plattform sei durch die „…“ kurzzeitig allein aus dem Grund wieder geöffnet worden, um im Zusammenhang mit der forensischen Untersuchung des Datenschutzvorfalls zusätzliche Informationen zu sammeln und diesbezügliche IT-Checks durchzuführen. Als Folge sei die Internetseite – wie vom Verfügungskläger beschrieben – für einen begrenzten Zeitraum erreichbar gewesen. Seit dem 29.09.2019 sei der Zugang beseitigt. Die Gefahr eines Betrugs sei ohnehin bereits weitestgehend ausgeschlossen, weil die Ablaufdaten der Kreditkarten und ihre Sicherheitscodes (sog. CVC-Code) nicht veröffentlicht worden seien.
Die Verfügungsbeklagte ist darüber hinaus der Auffassung, dass die Vorwegnahme der Hauptsache drohe. Zudem bestehe weder ein Verfügungsanspruch noch ein Verfügungsgrund. Die DSGVO gewähre keinen Unterlassungsanspruch. Zudem käme dieser eine Sperrwirkung zu. Die Voraussetzungen für eine Leistungsverfügung lägen nicht vor.
Ergänzend trug die Verfügungsbeklagte vor, dass die Änderung des Antrags des Verfügungsklägers in der mündlichen Verhandlung nichts an der Unbestimmtheit des Antrags ändere, da weiterhin unklar sei, welche konkreten Schutzmaßnahmen die Verfügungsbeklagte treffen müsste. Der PCI DSS sei ein 172-seitiges Regelwerk, das kein geeignetes Mittel zur Konkretisierung des Antrags darstelle. Die vom Verfügungskläger benannte URL https. …….aspx führe zu einer reinen Testumgebung (daher „…“). Über diese bestehe kein Zugriff auf personenbezogene Daten von „Priceless Special“-Nutzern. Ein Login sei nur mit bestimmten Test-Anmeldedaten möglich. Eine Neuregistrierung sei nicht möglich. Der Verfügungskläger habe darüber hinaus (nachvollziehbarerweise) nicht vorgetragen, dass er Zugriff auf sein „Priceless Specials“-Kundenkonto und seine Nutzerdaten habe.
Zur Ergänzung des Sach- und Streitstandes wird auf die Schriftsätze der Parteien nebst den vorgelegten eidesstattlichen Versicherungen sowie das Protokoll der mündlichen Verhandlung vom 23.10.2019 (Bl. 47/49) Bezug genommen.
Entscheidungsgründe
Der Antrag auf Erlass einer einstweiligen Verfügung ist weder zulässig noch begründet.
I. Der Antrag des Verfügungsklägers erfüllt nicht die Anforderungen des in § 253 Abs. 2 Nr. 2 ZPO verankerten Bestimmtheitserfordernisses. Erforderlich ist ein bestimmter Antrag. Er muss -aus sich heraus verständlich – Art (Leistung, Feststellung, Gestaltung) und Umfang des begehrten Rechtsschutzes nennen und ist damit ein wesentliches Element zur Bestimmung des Streitgegenstandes. Nach der Rechtsprechung des Bundesgerichtshofs (vgl. BGH NJW 1999, 954; NJW 2003, 668, 669; BGH NJW 2013, 1367 Rn. 12; NJW 2016, 317 Rn. 8ff.; NJW 2016, 708 Rn. 8ff.; s. a. BGH NJW 2008, 1384, 1385) ist ein Klageantrag im Allgemeinen dann hinreichend bestimmt, wenn er den erhobenen Antrag konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Prüfungsmaßstab für die hinreichende Bestimmtheit ist demnach immer die Eignung des Urteils für die Vollstreckung. Der Verfügungskläger beantragt, es „zu unterlassen, die Plattform Priceless Specials zu betreiben, ohne die Sicherheitsmaßnahmen des PCI DSS-Standards einzuhalten, insbesondere die Plattform beim Bekanntwerden von Sicherheitslücken weiter zu betreiben.“
Dieser Antrag ist – auch nach Abänderung des Antrags in der mündlichen Verhandlung – nicht hinreichend bestimmt, da es an einem vollstreckungsfähigen Inhalt mangelt. Das zu unterlassende Verhalten ist nicht so konkret bezeichnet, dass die Verfügungsbeklagte ihr Risiko erkennen und ihr Verhalten darauf einrichten könnte. Die Verfügungsbeklagte müsste absehen können, wann eine Vollstreckungshandlung aufgrund einer Zuwiderhandlung droht. Dies ist vorliegend nicht der Fall. Die Problematik ausreichender Bestimmtheit ist bei Unterlassungsanträgen parallel zu der Frage der Vollstreckbarkeit des jeweils geschaffenen Titels nach § 890 ZPO zu beantworten. Sowohl hinsichtlich des Antrags nach § 253 Abs. 2 Nr. 2 ZPO als auch bezogen auf § 890 Abs. 1 ZPO muss die Verfügungsbeklagte erkennen können, welche Leistung sie zu erbringen hat.
Zwar muss der Verfügungsbeklagten als potentielle Störerin grundsätzlich die Wahl zwischen mehreren Möglichkeiten der Beseitigung offen bleiben, jedoch muss durch den Antrag weiterhin dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO Rechnung getragen werden. Ein unbestimmter Tenor wäre nicht vollstreckbar. Diesem Erfordernis ist der Antragsteller nicht hinreichend nachgekommen. Aus dem Antrag ist nicht hinreichend ersichtlich, welche Maßnahmen die Verfügungsbeklagte konkret zur Erfüllung ihrer Pflicht zu ergreifen hat. Ohne eine solche Konkretisierung ist für die Verfügungsbeklagte aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde. Die Grenzen sind für sie in keiner Weise ersichtlich. Die ausreichende Bestimmtheit des Antrags ergibt sich auch nicht aus dem PCI DSS-Standard. Der PCI DSS enthält durchaus Anforderungen an die Sicherheitsstandards für Kreditkartendaten. Gegenstand des Antrags sind jedoch nicht bestimmte Anforderungen des PCI DSS, gegen die die Verfügungsbeklagte verstoßen haben soll und die zu dem Sicherheitsvorfall geführt haben sollen. Demzufolge fehlt es an der erforderlichen und zumutbaren Konkretisierung. Darüber hinaus ist für das Vollstreckungsgericht – auch angesichts des umfassenden Regelwerks des PCI DSS-Standards – nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Verfügungsbeklagten veranlasst werden müssten.
II.
Des Weiteren fehlt vorliegendem Antrag das Rechtsschutzbedürfnis, da der Verfügungskläger die Möglichkeit hat, der maschinellen Verarbeitung seiner Daten durch die Verfügungsbeklagte zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden. Nach Ansicht des Gerichts kann der Verfügungskläger mit den Ausführungen, dass die „Hau doch ab, wenn’s dir nicht passt!“-Argumentation der Verfügungsbeklagten der Tatsache nicht gerecht werde, dass der Verfügungskläger ein Interesse daran haben dürfe, die Vorzüge des Bonusprogramms der Verfügungsbeklagten weiterhin zu nutzen und dass es allein Aufgabe der Verfügungsbeklagten sei, die gesetzlich vorgesehenen Maßnahmen zu ergreifen, um eine sichere Verarbeitung der Daten des Verfügungsklägers zu gewährleisten, nicht durchdringen. Seitens des Gerichts kann schon nicht nachvollzogen werden, weshalb der Verfügungskläger, der der Verfügungsbeklagten als seiner Vertragspartnerin offensichtlich nicht mehr das nötige Vertrauen entgegenbringt, dass diese die hohen Sicherheitsstandards einhält, trotzdem die Vertragsbeziehungen aufrechterhalten will. Unabhängig davon ist zwingende Prozessvoraussetzung ein allgemeines Rechtsschutzinteresse oder Rechtsschutzbedürfnis, d.h. ein schutzwürdiges Interesse an der gerichtlichen Geltendmachung des eingeklagten Rechts. Das Rechtsschutzbedürfnis kann fehlen, wenn das verfolgte Begehren auf einem einfacheren Weg zu erlangen ist (BGH NJW-RR 2010, 19). Dies ist vorliegend der Fall: Die Möglichkeit, der maschinellen Verarbeitung seiner Daten zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden, wäre der einfachere Weg für den Verfügungskläger, seine Bedenken im Hinblick auf die Verarbeitung seiner personenbezogenen Daten auszuräumen. Mit diesem schnelleren und billigeren Mittel des Rechtsschutzes lässt sich vergleichbar sicher oder wirkungsvoll das erforderliche Rechtsschutzziel – der Schutz der Daten des Verfügungsklägers – herbeiführen.
III.
Darüber hinaus ist der Antrag auch unbegründet. Begründet ist der Antrag auf Erlass einer einstweiligen Verfügung, wenn der Verfügungskläger einen Verfügungsanspruch und einen Verfügungsgrund schlüssig behauptet und glaubhaft macht. Ein Verfügungsgrund liegt vor, wenn durch die Änderung eines bestehenden Zustands die Verwirklichung eines Rechts des Antragstellers vereitelt oder wesentlich erschwert werden könnte. Es kommt darauf an, ob Umstände vorliegen, die nach dem Urteil eines objektiven, vernünftigen Menschen befürchten lassen, dass die Anspruchsverwirklichung durch die Veränderung der gegebenen Umstände vereitelt oder wesentlich erschwert werden könnte. In Betracht kommt etwa eine bevorstehende Rechtsverletzung. Glaubhaft gemacht werden Verfügungsanspruch und Verfügungsgrund nach § 294 ZPO. Der erforderliche Grad an Gewissheit ist bereits erreicht, wenn sich aus dem Vortrag des Antragstellers die überwiegende Wahrscheinlichkeit dafür ergibt, dass sie zutrifft (BGH NJW 03, 3558).
1. Vorliegend fehlt es bereits an einem Verfügungsanspruch. Das Recht auf Unterlassung rechtswidriger Datenverarbeitung ist nicht als solches in der Datenschutz-Grundverordnung verankert. Diese konkretisiert zwar das primärrechtlich verbürgte Recht auf Schutz persönlicher Daten, aber eben nur, soweit sie die Ausprägungen dieses Rechts normiert. Die bloße verordnungswidrige Datenverarbeitung stellt gerade noch keine Rechtsverletzung dar (vgl. hierzu Kreßeydow, Europäische Datenschutzverordnung 2. Auflage 2018, Rn. 10 ff.; BeckOK Datenschutzrecht, Wolff/Brink, Art. 82 Rn. 11 f.; Spindler/Schuster, Recht der elektronischen Medien, 4. Auflage 2019, Rn. 7 ff.).
Ein Anspruch aus § 1004 BGB ist nicht hinreichend glaubhaft gemacht. Voraussetzung des Unterlassungsanspruchs ist das Vorliegen einer Beeinträchtigungsgefahr. Diese ist entweder Wiederholungsgefahr, wenn es in der Vergangenheit bereits zu einer Beeinträchtigung gekommen ist, oder Erstbegehungsgefahr, wenn aufgrund objektiver Umstände eine erstmalige Beeinträchtigung unmittelbar bevorsteht. Nach dem Vortrag des Verfügungsklägers lässt sich vorliegend eine Glaubhaftmachung weder im Hinblick auf eine Wiederholungs- noch auf eine Erstbegehungsgefahr ableiten. Bereits nach dem Vortrag des Verfügungsklägers ist es in der Vergangenheit nicht zu einer vollendeten Beeinträchtigung gekommen, demzufolge eine Vermutung der Wiederholungsgefahr schon nicht in Betracht kommt. Des Weiteren hat die Verfügungsbeklagte hinreichend dargelegt und glaubhaft gemacht, welche Maßnahmen sie nach Bekanntwerden des Vorfalls ergriffen hat. Dass diese Maßnahmen unzureichend wären, zeigt der Verfügungkläger nicht auf – insbesondere auch nicht, was seitens der Verfügungsbeklagten noch veranlasst wäre. Die Verfügungsbeklagte hat glaubhaft gemacht, dass die streitgegenständliche Plattform nicht mehr in Betrieb ist (Anlage AG 22). Daran ändert auch der Umstand nicht, dass sie unstreitig zwischenzeitlich wieder kurzfristig über die Internetseite der „…“ online war. Die Verfügungsbeklagte hat diese für einen begrenzten Zeitraum bestehende Erreichbarkeit mit der forensischen Untersuchung und diesbezüglichen IT-Checks erklärt. Eine Wiederholung des streitgegenständlichen Datenlecks würde voraussetzen, dass sich die Verfügungsbeklagte nicht nur entscheidet, dass die Plattform wieder online gestellt wird, sondern auch, dass die Plattform unverändert wieder online stellt, ohne irgendwelchen weiteren Sicherheitsmaßnahmen zu ergreifen. Das Vorliegen einer Wiederholungsgefahr ergibt sich auch nicht aus dem Vortrag des Verfügungsklägers, dass die Internetseite „Priceless Specials“ bereits unter einer anderen URL wieder erreichbar sei. Die Verfügungsbeklagte hat in diesem Zusammenhang glaubhaft gemacht, dass es sich hierbei um eine reine Testumgebung ohne Zugriff auf personenbezogene Daten von „Priceless Specials“-Nutzern handelt. Der Verfügungskläger konnte auf Nachfrage des Gerichts im Rahmen der mündlichen Verhandlung insbesondere schon keine Angaben dazu machen, ob unter der von ihm genannten URL eine Anmeldung mit seinen bisherigen Login-Daten möglich ist.
2. Darüber hinaus steht dem Verfügungskläger auch kein Verfügungsgrund zu.
Ein Verfügungsgrund besteht nach § 935 ZPO, wenn zu besorgen ist, dass durch eine Veränderung des bestehenden Zustandes die Verwirklichung des Rechtes einer Partei vereitelt oder wesentlich erschwert werden könnte (sog. Sicherungsverfügung) bzw. nach § 940 ZPO, wenn in Bezug auf ein streitiges Rechtsverhältnis die Regelung zur Abwendung wesentlicher Nachteile oder zur Verhinderung drohender Gewalt oder aus anderen Gründen nötig erscheint (sog. Regelungsverfügung). Über den Wortlaut der §§ 935, 940 ZPO hinaus lässt die Rechtsprechung jedoch ausnahmsweise eine sog. Leistungs- oder Befriedigungsverfügung zu, deren Inhalt auf die (vollständige oder teilweise) Befriedigung des Verfügungsanspruchs gerichtet ist.
Um eine solche geht es dem Verfügungskläger hier, da sein als Unterlassungsantrag formuliertes Begehren nicht lediglich auf eine zukünftige Untätigkeit der Verfügungsbeklagten, sondern auf ein Verhalten gerichtet ist, welches den Nichteintritt einer aus Sicht des Antragstellers (erneut) drohenden Beeinträchtigung seines Allgemeinen Persönlichkeitsrechts bewirkt, insbesondere die Vornahme von (im Einzelnen nicht konkretisierten) Sicherungsmaßnahmen. Dabei geht es dem Verfügungskläger offensichtlich nicht um eine Hilfestellung bei der Eindämmung der aus dem bereits erfolgten Datenverlust resultierenden Gefahren und auch nicht um die Abwehr einer sich konkret abzeichnenden Wiederholungsgefahr. Inhaltlich stellt dies nichts anderes dar als das Begehren einer ordnungsgemäßen Vertragsdurchführung in ihrer gesamten Weite.
Eine Leistungsverfügung kann aber ganz generell nur in engen Ausnahmefällen zugelassen werden, weil sie letztlich über den gesetzlichen Wortlaut der §§ 935, 940 ZPO hinausgeht und dabei im Rahmen eines nur summarischen Verfahrens dem Verfügungskläger bereits all das gewährt, was er auch nach Durchführung eines Hauptsacheverfahrens erreichen könnte. Um diese strengen Voraussetzungen zu erfüllen, muss der Verfügungskläger im Einzelfall darlegen und glaubhaft machen, dass er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen ist und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten, soweit nach Art des Anspruchs überhaupt möglich, oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist (Zöller/Vollkommer, ZPO, 32. Aufl., § 940 Rn 6 m. w. N.). Dabei ist nicht nur die Frage zu stellen, ob die geschuldete Leistung nur innerhalb eines bestimmten Zeitraums vorgenommen werden kann und die rechtzeitige Erwirkung eines (Hauptsache-)Titels im Klageverfahren für diesen bestimmten Zeitraum nicht möglich ist. Vielmehr muss insgesamt eine Interessenabwägung durchgeführt werden, da dem Interesse des Verfügungsklägers an der Gewährung effektiven Rechtsschutzes vielfach das nicht weniger schutzwürdige Interesse der Verfügungsbeklagten gegenübersteht, nicht in einem mit nur eingeschränkten Erkenntnis- und Beweismöglichkeiten ausgestalteten summarischen Verfahren zu einer Erfüllung des umstrittenen Anspruchs verpflichtet zu werden. Der Erlass einer auf endgültige Anspruchsbefriedigung gerichteten einstweiligen Verfügung kommt somit allein dann in Betracht, wenn der dem Verfügungskläger aus der Nichterfüllung drohende Schaden außer Verhältnis zu demjenigen Schaden steht, der der Verfügungbeklagten aus der sofortigen Erfüllung droht.
Diese strengeren Voraussetzungen für den Erlass einer Leistungsverfügung hat der Verfügungskläger jedoch weder hinreichend dargelegt, noch glaubhaft gemacht. Es ist nicht erkennbar, warum er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen sein soll und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist. Dass die Verfügungsbeklagte sensible personenbezogene Daten des Verfügungsklägers mit einem erheblichen Missbrauchspotential verarbeite und bei Fortdauer der Datenverarbeitung weitere unbefugte Zugriffe auf die Nutzerdatenbank zu befürchten seien, reicht als Begründung dafür, dass ein weiteres Zuwarten nicht zumutbar ist, nicht aus, zumal der Verfügungskläger schon auf der Ebene der Wiederholungsgefahr eine solche nicht glaubhaft machen konnte. Natürlich ist die Verfügungsbeklagte gegenüber dem Verfügungskläger und den anderen Bonusprogramm-Teilnehmern verpflichtet, für die Sicherheit deren Daten Sorge zu tragen, wenn sie diese verarbeitet. Sicherungsmaßnahmen im einstweiligen Rechtsschutz sind aber nur möglich, wenn konkrete Möglichkeiten zur Sicherung bekannt sind, um ein erneutes Datenleck zu vermeiden. Der Verfügungskläger hat schon nicht dargelegt, dass die Einhaltung der Sicherheitsmaßnahmen des PCI DSS-Standards ein neues Datenleck vermeiden würde.
IV.
Die Kostenentscheidung beruht auf § 91 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit auf 708 Nr. 6, 711 S. 1 und S. 2 ZPO.
V.
Die Festsetzung des Streitwertes folgt aus § 53 Abs. 1 Nr. 1 GKG i.V.m. § 3 ZPO. Der Hauptsachewert beträgt 4.500,– Euro. Von diesem ist grundsätzlich ein Drittel anzusetzen (vgl. Zöller, ZPO § 3 Rn. 16).