Datenleck bei Mastercard: Verbraucher erhält 1000 Euro Schadensersatz

Ein weiteres Urteil im Datenschutzrecht zugunsten der Verbraucher: Die Kanzlei Dr. Stoll & Sauer hat vor dem Amtsgericht Augsburg ein rechtskräftiges Urteil gegen Mastercard Europe erstritten. Mastercard wurde zur Zahlung von 1.000 € immateriellem Schadensersatz verurteilt, nachdem sensible Kundendaten über das Bonusprogramm „Priceless Specials“ an Unbefugte gelangt sein sollen. Zudem muss Mastercard auch für künftige materielle Schäden aufkommen, die durch den Datenschutzverstoß entstehen. Das Urteil (Az. 73 C 3964/24 vom 18.03.2025) ist rechtskräftig – Mastercard legte keinen Einspruch ein. Die Verbraucherkanzlei Dr. Stoll & Sauer bietet von Datenlecks betroffenen Kunden eine kostenlose Ersteinschätzung im DSGVO-Online-Check an. Hier werden die rechtlichen Möglichkeiten aufgezeigt. Unsere Kanzlei hat bereits in vergleichbaren Fällen – etwa beim großen Facebook-Datenleck – Schadensersatzbeträge von bis zu 3.000 Euro erfolgreich für Mandanten durchgesetzt.

Amtsgericht Augsburg sieht klaren Datenschutzverstoß beim Mastercard-Datenleck

Im August 2019 kam es nach verschiedenen Medienberichten beim Mastercard-Bonusprogramm „Priceless Specials“ zu einem massiven Datenleck. Über eine öffentlich zugängliche Datenbank sollen personenbezogene Informationen von mehr als 90.000 Kunden einsehbar gewesen sein – darunter Namen, Geburtsdaten, Anschriften, E-Mail-Adressen, Telefonnummern und teilweise auch Kreditkartendaten. Mastercard beendete das Bonusprogramm, wies jedoch jede Verantwortung zurück und soll nach Medienberichten außergerichtlich in vielen Fällen nur pauschale Entschädigungen von bis zu 300 € angeboten haben – gegen Unterzeichnung einer Stillschweigevereinbarung. Dr. Stoll & Sauer fasst das bemerkenswerte Urteil zum Mastercard-Datenleck am Amtsgericht Augsburg zusammen:

• 1000 Euro Schadensersatz: Für das Amtsgericht Augsburg steht fest, dass „aufgrund des unbestrittenen Vortrags des Klägers (…) es bei der Beklagten am 19.08.2019 aufgrund unzureichender Schutzvorkehrungen zu einem Datenschutzverstoß“ gekommen war. Das Amtsgericht Augsburg verurteilt Mastercard Europe S.A. daher zur Zahlung von 1000 Euro Schadensersatz. Die Entscheidung ist rechtskräftig, weil Mastercard keinen Einspruch gegen das Versäumnisurteil eingelegt hatte (Az. 73 C 3964/24 vom 18.03.2025).
• Versäumnisurteil: Mastercard hatte sich nicht gegen die Klage verteidigt. Das Gericht konnte daher alle Behauptungen des Klägers als zutreffend behandeln und entschied ohne mündliche Verhandlung zugunsten des Klägers (§ 331 ZPO). Weil Mastercard keinen Einspruch einlegte, ist das Urteil rechtskräftig und vollstreckbar.
• Kontrollverlust: „Der Kläger erlebte Kontrollverlust und Angst vor einem weiteren Missbrauch seiner Identität“, heißt es in dem Urteil. „Unter Abwägung dieser Gesichtspunkte erachtet das Gericht einen (immateriellen) Schadensersatz in Höhe von 1000 Euro als angemessen.“
• Identitätsmissbrauch: Unbekannte bestellten mit den Daten, die auch Mastercard zur Verfügung gestellt worden waren, Waren im Wert von 400 Euro. Dem Kläger war jedoch kein materieller Schaden entstanden. Der Kläger wurde jedoch zudem mit Phishing-Mails und SPAM überflutet und befürchtet weiteren Missbrauch.
• Zukunftsschaden abgesichert: Das Gericht stellte fest, dass Mastercard auch zukünftige materielle Schäden ersetzen muss, die aus dem Datenleck resultieren. Denn: „Der Eintritt eines weiteren Schadens kann nicht ausgeschlossen werden.“
• Rechtliche Grundlage Art. 82 DSGVO: Das Gericht bestätigte ausdrücklich einen Schadenersatzanspruch auf Basis der Datenschutz-Grundverordnung – ohne dass ein materieller Schaden zwingend erforderlich gewesen wäre.

Fazit zum Mastercard-Datenleck: Verbraucherrechte jetzt durchsetzen

Datenlecks wie bei Mastercard sind keine Bagatellen, wie gerade der vorliegende Fall mit Identitätsdiebstahl beweist. Das Augsburger Urteil ist das erste uns bekannte verbraucherfreundliche Urteil im Zusammenhang mit dem Mastercard-Datenleck. Zuvor hatten das LG Karlsruhe und das OLG Stuttgart Schadensersatzklagen abgewiesen. In einem Verfahren vor dem OLG Stuttgart (Az. 4 U 17/22) wurde die Revision zum Bundesgerichtshof zwar zugelassen, die Klägerin zog jedoch überraschend zurück – ein Musterurteil blieb daher aus. Erst das nun rechtskräftige Urteil des AG Augsburg schafft erstmals klare Verhältnisse. Verbraucher können auf Entschädigung pochen, auch wenn der Schaden nicht körperlich oder materiell ist. Jetzt handeln: Kostenlose Ersteinschätzung im DSGVO-Online-Check sichern – und Schadensersatz bei einem Datenleck geltend machen. Dr. Stoll & Sauer kämpft für die Rechte von Verbrauchern.

BGH und EuGH erleichtern Durchsetzung von Schadensersatzansprüchen

Der Bundesgerichtshof (BGH) und der Europäische Gerichtshof (EuGH) haben sich zuletzt verbraucherfreundlich zu Datenschutzverletzungen positioniert.

• BGH stärkt Verbraucherrechte: Der BGH hat am 18. November 2024 klargestellt, dass der reine Kontrollverlust über personenbezogene Daten bereits einen Schaden nach der DSGVO darstellt. Dies erleichtert die Durchsetzung von Schadensersatzansprüchen erheblich (Az.: VI ZR 10/24).
• Auskunftsanspruch: Nutzer können von Unternehmen verlangen, Informationen über den Umfang des Datenlecks zu erhalten.
• Schadensersatz: Nach Art. 82 DSGVO haben Betroffene Anspruch auf Entschädigung für die Verletzung ihrer Datenschutzrechte.
• Keine zusätzlichen Nachweise erforderlich: Nach der Rechtsprechung des BGH sind weitere Nachweise über Ängste oder Befürchtungen nicht zwingend erforderlich, auch wenn solche Nachweise den Schadensersatz erhöhen können.
• Präzedenzfall Facebook-Datenleck: Das Facebook-Datenleck zeigt exemplarisch, wie Kontrollverluste über personenbezogene Daten Schadensersatzansprüche nach der DSGVO auslösen können – eine Entwicklung, die auch auf Mastercard übertragbar ist.
• EuGH stärkt Rechte von Betroffenen: Mit Urteil vom 14. Dezember 2023 (Az.: C-340/21) stellte der Europäische Gerichtshof klar: Schon die Angst vor einem möglichen Missbrauch personenbezogener Daten reicht aus, um einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO zu begründen.