Erstes Urteil zum Schadensersatz bei Datenlecks

Unternehmen, die rechtswidrig personenbezogene Daten verarbeiten, bekommen immer häufiger Bußgeldbescheide gem. Art. 83 Abs. 5 DSGVO. Doch private Klagen betroffener Personen auf Schadensersatz, welche auf einen Datenschutzverstoß zurückzuführen sind, sind selten. Um nicht zu sagen -es gibt sie nicht-. Doch mit dem Urteil des LG München vom 9.12.2021 wurde nun zum ersten Mal ein Unternehmen zur Zahlung von 2.500 Euro Schadensersatz an einen Betroffenen verurteilt. Der Betrag ist nur symbolisch aber das Urteil ist wegweisend.  

Der Sachverhalt

Scalable Capital, ein digitaler Vermögensverwalter und Anbieter eines Online-Brokers mit Sitz in München und 600.000 Kunden meldete im Oktober 2020 einen Datenschutzvorfall. Nach Informationen der Frankfurter Allgemeinen Zeitung hatten sich Unbefugte Dritte Zugang zu persönlichen Daten wie Adressen, Steuer- und Depotinformationen, Ausweisdaten und Kontaktdaten von mehr als 33 000 aktiven und ehemaligen Kunden verschafft. Im Zusammenhang mit diesem Vorgang steht, dass Scalable einem früheren Dienstleister Zugangsinformationen zu ihrem vollständigen IT-System gegeben hatte und diese auch fünf Jahre nach Beendigung des Dienstleistungsverhältnisses nicht geändert worden waren. Unbefugte Dritte hatten sich mit diesen Zugangsinformationen eingeloggt und 389.000 Datensätze kopiert. Die Täter versuchten dann, sich für die Personen auszugeben, deren Daten sie gestohlen hatten, und so Kredite zu beantragen. Eine betroffene Person hat angesichts eines möglichen Identitätsdiebstahls nun geklagt. Doch die Hürden für eine erfolgreiche Klage sind hoch. 

Der Schadensersatzanspruch

Gemäß Art. 82 DSGVO muss zunächst eine Datenverarbeitung vorliegen, die nicht der DSGVO entspricht. Bereits hier zeigt das Urteil, welche hohen Anforderungen an die Datensicherheit gem. Art. 32 DSGVO und den Grundsatz des ordnungsgemäßen und sicheren Umgangs mit Daten zu stellen sind. So hatte Scalable Capital die Vertragsbeziehungen mit seinem IT-Dienstleister beendet und war laut Angaben des Urteils davon ausgegangen, dass der Dienstleister die Zugangsinformationen vollständig und dauerhaft gelöscht hatte. Für das Landgericht Köln war dies angesichts der Fülle und Sensibilität der Daten nicht genug. Es bezeichnete das Verhalten von Scalable Capital sogar als fahrlässig, da die Löschung der Zugangsdaten seitens Scalable Capital nicht geprüft und die Zugangsdaten nicht geändert wurden. Somit lag ein Verstoß gegen Art. 32 DSGVO vor, den Scalable Capital auch zu vertreten hatte.  

Ein solcher Verstoß muss auch zu einem materiellen oder immateriellen Schaden führen.  Interessant ist hier, dass das LG Köln einen Schaden bereits dadurch angenommen hat, dass durch den Umfang der gestohlenen Daten (Personalien, Kontaktdaten, Ausweisdaten, Bank- und Wertpapierdepotdaten und Steuerdaten) bereits einen Schaden bejaht werden kann, weil ein Identitätsdiebstahl mit ihnen möglich wäre und als wahrscheinlich gilt. Die Annahme eines Identitätsdiebstahls genügt also.  

Letztlich muss der Schaden auch kausal auf den DSGVO-Verstoß zurückzuführen sein. Das sich Scalable Capital auf die Fehler seines Dienstleisters berief, ließ das LG Köln nicht gelten. Gerade weil Scalable Capital die Löschung der Zugangsdaten bei seinem Dienstleister nicht kontrollieren konnte, hätte es die Zugangsdaten ändern müssen. Somit lag ein für den Schaden kausaler, vom Dienstleister unabhängiger, Verstoß vor.  

Die Voraussetzungen des Schadensersatzes gem. Art. 82 DSGVO waren somit erfüllt. Der Schadensersatz von 2.500 Euro fiel unter Berücksichtigung der Tatsache, dass es noch keinen eigentlichen Identitätsdiebstahl gab, gering aus.  

Die Lehren aus dem Urteil

Das Urteil hat gezeigt, wie wichtig die Einrichtung von technischen und organisatorischen Maßnahmen für die Datensicherheit sind. Nur wer diese nicht nur dokumentiert, sondern auch befolgt ist bezüglich Art. 32 DSGVO auf der sicheren Seite.  

Auch bei der Anbahnung eines Auftragsverarbeitungsverhältnisses ist einiges zu beachten. Sie beginnt mit der datenschutzrechtlichen Prüfung, insbesondere des Auftragsverarbeitungsvertrages, und endet mit der dokumentierten Anweisung der Löschung oder Herausgabe der verarbeiteten Daten gem. Art. 28 Abs. 3 S.1 lit.g) DSGVO. Die Einhaltung der datenschutzrechtlichen Pflichten des Auftragsverarbeiters kann und soll zudem gem. Art. 28 Abs.3 S.1 lit.h) DSGVO von Auftragnehmer geprüft werden. Denn grundsätzlich gilt dabei: „Wer sich nur auf seine Dienstleister verlässt, der ist verlassen“. Zugangsdaten, die Dienstleistern zur Verfügung gestellt werden, müssen unabhängig von den Löschfristen des Dienstleisters geändert werden. Um solche lebenswichtigen Tätigkeiten nicht zu vergessen, sollten Listen mit Auftragsverarbeitern regelmäßig aktualisiert werden. Kommt es zu einem Datenleck, müssen zügig Maßnahmen Insbesondere Unternehmen, die tagtäglich mit der Verarbeitung von sensiblen Daten konfrontiert sind, sollten beim Datenschutz keine Abstriche machen.