Multiple awards.

Focus Markenrecht
de

Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen Datendiebstahls

Your contact person
Schadensersatz Datendiebstahl
Thapana – stock.adobe.com

Immer häufiger hört man davon, dass Daten nach einem Datenleck an unbefugte Dritte oder gar ins Darknet gelangen.

Dabei handelt es sich um einen Datenschutzverstoß, weshalb den Betroffenen grundsätzlich ein Schadensersatzanspruch nach Art. 82 der Datenschutz-Grundverordnung (DSGVO) zusteht.

Jedoch nur dann, wenn die Voraussetzungen auch alle gegeben sind.

 Datenschutzverstoß bei Neobroker

Im Oktober 2020 teilte der bekannte Neobroker Scalable Capital seinen Kunden mit, dass es zu einem Datenschutzverstoß gekommen sei und unbekannte Dritte an bestimmte Informationen der Kunden gekommen seien – unter anderem Ausweisdaten, Name und Adresse, Wertpapierabrechnungen und steuerliche Daten. Die Anzahl der betroffenen Kunden wird auf mehr als 30.000 geschätzt. Einer der betroffenen Kunden verklagte nun das Finanzunternehmen auf Schadensersatz.

Schmerzensgeld?

Mit Erfolg! Das Landgericht München (LG München Urteil v. 09.12.2021, Az. 31 O 16606/20) sprach dem Kunden des Fintechs Scalable Capital Schmerzensgeld in Höhe von 2.500 Euro zu.

Dem Urteil des Landgericht München liegt ein Anspruch aus Art. 82 DSGVO zugrunde. Um einen solchen Schadensersatz zuzusprechen muss das angerufene Gericht prüfen, ob die Anspruchsvoraussetzungen von Art. 82 DSGVO erfüllt sind. Dieser stellt eine eigenständige, unmittelbar geltende, deliktsrechtliche Anspruchsgrundlage dar, die zum einen den Zweck hat, einen Ausgleich für durch Datenschutzrechtsverletzungen erlittene materielle und immaterielle Schäden zu schaffen und zum anderen Datenschutzrechtsverletzungen zu sanktionieren, um weitere Verstöße zu verhindern.

Voraussetzung für den Anspruch ist zunächst, dass ein Verstoß gegen eine Bestimmung der DSGVO vorliegt – beispielsweise die Verletzung von Datensicherheitsvorgaben gem. Art. 32 DSGVO. Außerdem muss der Verantwortliche, gegen den der Ersatzanspruch gerichtet ist, den Datenschutzverstoß fahrlässig oder vorsätzlich verschuldet haben. Das Verschulden wird grundsätzlich vermutet. Um sich zu entlasten, muss der Verantwortliche daher nachweisen, für das schadensauslösende Ereignis nicht verantwortlich gewesen zu sein. Kann das von einem Datenleck betroffene Unternehmen nachweisen, dass es alles Zumutbare getan hat, um Datenlecks vorzubeugen oder gar zu verhindern ist eine Entlastung grundsätzlich möglich. Ein begründeter Schadensersatzanspruch setzt zudem das Vorliegen eines kausalen Schadens voraus. Dies können sowohl materielle Schäden als auch immaterielle Schäden sein. Um einen Schmerzensgeldanspruch zu begründen, muss nach Ansicht der herrschenden Meinung dem Betroffenen ein spürbarer Nachteil entstanden sein, der aus einer objektiv nachvollziehbaren, mit gewissem Gewicht erfolgten Beeinträchtigung von persönlichkeitsbezogenen Belangen resultiert.

Verletzung der Sorgfaltspflichten

Einen solchen Anspruch sprach das Landgericht München dem Betroffenen zu. Das Gericht bejahte eine Verletzung der Sorgfaltspflichten nach Art. 32 DSGVO, der eine sichere Datenverarbeitung vorschreibt. Außerdem wird Scalable Capital verpflichtet, dem Kläger alle materiellen künftigen Schäden zu ersetzen.

Das Landgericht sieht nämlich in dem Datenleck einen Verstoß der Beklagten gegen ihre Pflicht, für die Sicherheit der Verarbeitung Sorge zu tragen. So führt es hierzu aus, dass im Hinblick auf die Frage des Datenschutzverstoßes Art. 32 DSGVO verlange, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem könnten die Anforderungen beziehungsweise Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 lit. f) DSGVO und aus den Erwägungsgründen 39 und 78 der Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten entnommen werden. Dabei sieht es das Gericht als erwiesen an, dass unbefugte Dritte Zugriff auf Kundendaten hatten. Hierbei wurden unter anderem Namen, Anschrift, E-Mail-Adressen, Handynummern, IBAN sowie Ausweiskopien der Kunden entwendet. Diesbezüglich stellen die Richter klar, dass es sich hierbei um einen eigenen Verstoß der Beklagten handele, sodass sie sich nicht nur den Verstoß eines Dritten zurechnen lassen müsse.

Es könne demzufolge dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen überhaupt zugerechnet werden können. Denn die Beklagte habe selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern, so das Gericht. Es sei daher unstreitig, dass die Beklagte die Zugangsdaten nach Beendigung der Geschäftsbeziehung nicht geändert habe. Darauf, dass die Zugangsinformationen vollständig und dauerhaft seitens des Drittunternehmens gelöscht werden, durfte die Beklagte sich im Hinblick auf den großen Umfang sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen. Da die Beklagte außerdem die Löschung offensichtlich nicht überprüft habe, sei es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen.

Identitätsdiebstahl

Indem die Täter versuchten, mit den gestohlenen Kundendaten Kredite zu erlangen und diese im Darknet anboten, könne sich der betroffene Kunde dauerhaft dem Risiko ausgesetzt sehen, dass die über ihn erbeuteten Daten für Identitätsdiebstähle, Zugriffsversuche auf von ihm genutzten Online-Dienste oder sonstige Betrugsversuche verwendet würden. Aus diesen Gründen geht das Gericht auch davon aus, dass ein sogenannter Identitätsdiebstahl vorliege, welcher einen Anspruch auf Schadensersatz begründe. Dem Kunden sei somit ein spürbarer Nachteil entstanden, der die Zahlung eines Schmerzensgeldes rechtfertige.

Nach dem Urteil lag es nun also in der Verantwortung von Scalable Capital, die Daten ihrer Kunden zu schützen. Denn das Unternehmen habe im Vorhinein selbst keine ausreichenden organisatorischen Maßnahmen getroffen, um den streitgegenständlichen Datenverlust zu verhindern. Demnach sei ein datenschutzrechtlicher Verstoß anzunehmen, den das Unternehmen zu vertreten habe. Es spiele außerdem keine Rolle, dass die Beklagte ausweislich eines Schreibens im Oktober 2020 nach dem Vorfall umgehend alle erforderlichen Maßnahmen ergriffen hat, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen.

Denn nach Auffassung des Gerichts sei es nicht als unzumutbar anzusehen, dass dies bereits unmittelbar nach Beendigung der Geschäftsbeziehung mit dem Unternehmen hätte vorgenommen werden können. Auch wenn dies einen gewissen Aufwand erfordert hätte (den habe es schließlich auch im Jahre 2020 erfordert), könne dies keine Berechtigung dafür sein, die Daten der Kunden in einem bestimmten Bereich der Gefährdung durch einen (möglichen) unerlaubten Zugriff von außen ausgesetzt sein zu lassen, so das Gericht. Letztlich ging das Gericht also davon aus, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre.

Auswirkungen für die Zukunft

Die Entscheidung des Landgerichts München stellt einen Wendepunkt dar. Denn einige andere ordentliche Gerichte verhielten sich bis jetzt sehr zurückhaltend, wenn es darum ging, den Klägern einen immateriellen Schadensersatzanspruch nach einem Datenleck zuzusprechen. Erstmals schafft es eine Klägerin, ein Gericht von einem schuldhaften Verstoß für ein Datenleck und einem kausalen Schaden zu überzeugen. Insoweit hat das Landgericht München die Anspruchsvoraussetzungen des Art. 82 DSGVO konsequent durchgeprüft und letztlich auch bejaht.

Aus diesem Grund ist zu erwarten, dass das Urteil erhebliche Indizwirkung für die Geltendmachung von Ansprüchen aus Art. 82 DSGVO haben wird und viele von Datenlecks betroffene Verbraucher animieren wird, Schmerzensgeld gegen Unternehmen geltend zu machen. Für Unternehmen bedeutet die Entscheidung, dass noch mehr als sonst jeder Datenverarbeitungsvorgang auf seine Konformität mit der Datenschutz-Grundverordnung überprüft werden muss. Vor allem dann, wenn solche Vorgänge durch beauftragte Dritte durchgeführt werden sollen.

Practical handbook for enforcing claims in competition law

2nd, completely revised and updated edition

Arranged chronologically, differentiated structure, numerous cross-references and, brand new: Extensive practical information on every process situation.

Learn more

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht