{"id":60353,"date":"2022-01-31T07:29:37","date_gmt":"2022-01-31T05:29:37","guid":{"rendered":"\/?p=60353"},"modified":"2022-01-31T04:30:23","modified_gmt":"2022-01-31T02:30:23","slug":"dsgvo-schadensersatz-datendiebstahl","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/dsgvo-schadensersatz-datendiebstahl\/","title":{"rendered":"Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen Datendiebstahls"},"content":{"rendered":"
\"Schadensersatz
Thapana – stock.adobe.com<\/figcaption><\/figure>\n

Immer h\u00e4ufiger h\u00f6rt man davon, dass Daten nach einem Datenleck an unbefugte Dritte oder gar ins Darknet gelangen.<\/em><\/p>\n

Dabei handelt es sich um einen Datenschutzversto\u00df, weshalb den Betroffenen grunds\u00e4tzlich ein Schadensersatzanspruch nach Art. 82 der Datenschutz-Grundverordnung (DSGVO)<\/a> zusteht. <\/em><\/p>\n

Jedoch nur dann, wenn die Voraussetzungen auch alle gegeben sind. <\/em><\/p>\n

\u00a0<\/em>Datenschutzversto\u00df bei Neobroker<\/h2>\n

Im Oktober 2020 teilte der bekannte Neobroker Scalable Capital seinen Kunden mit, dass es zu einem Datenschutzversto\u00df gekommen sei und unbekannte Dritte an bestimmte Informationen der Kunden gekommen seien – unter anderem Ausweisdaten, Name und Adresse, Wertpapierabrechnungen und steuerliche Daten. Die Anzahl der betroffenen Kunden wird auf mehr als 30.000 gesch\u00e4tzt. Einer der betroffenen Kunden verklagte nun das Finanzunternehmen auf Schadensersatz.<\/p>\n

Schmerzensgeld?<\/h2>\n

Mit Erfolg! Das Landgericht M\u00fcnchen (LG M\u00fcnchen Urteil v. 09.12.2021, Az. 31 O 16606\/20<\/a>) sprach dem Kunden des Fintechs Scalable Capital Schmerzensgeld in H\u00f6he von 2.500 Euro zu.<\/p>\n

Dem Urteil des Landgericht M\u00fcnchen liegt ein Anspruch aus Art. 82 DSGVO<\/a> zugrunde. Um einen solchen Schadensersatz<\/a> zuzusprechen muss das angerufene Gericht pr\u00fcfen, ob die Anspruchsvoraussetzungen von Art. 82 DSGVO<\/a> erf\u00fcllt sind. Dieser stellt eine eigenst\u00e4ndige, unmittelbar geltende, deliktsrechtliche Anspruchsgrundlage dar, die zum einen den Zweck hat, einen Ausgleich f\u00fcr durch Datenschutzrechtsverletzungen erlittene materielle und immaterielle Sch\u00e4den zu schaffen und zum anderen Datenschutzrechtsverletzungen zu sanktionieren, um weitere Verst\u00f6\u00dfe zu verhindern.<\/p>\n

Voraussetzung f\u00fcr den Anspruch ist zun\u00e4chst, dass ein Versto\u00df gegen eine Bestimmung der DSGVO vorliegt – beispielsweise die Verletzung von Datensicherheitsvorgaben gem. Art. 32 DSGVO<\/a>. Au\u00dferdem muss der Verantwortliche, gegen den der Ersatzanspruch gerichtet ist, den Datenschutzversto\u00df fahrl\u00e4ssig oder vors\u00e4tzlich verschuldet haben. Das Verschulden wird grunds\u00e4tzlich vermutet. Um sich zu entlasten, muss der Verantwortliche daher nachweisen, f\u00fcr das schadensausl\u00f6sende Ereignis nicht verantwortlich gewesen zu sein. Kann das von einem Datenleck betroffene Unternehmen nachweisen, dass es alles Zumutbare getan hat, um Datenlecks vorzubeugen oder gar zu verhindern ist eine Entlastung grunds\u00e4tzlich m\u00f6glich. Ein begr\u00fcndeter Schadensersatzanspruch setzt zudem das Vorliegen eines kausalen Schadens voraus. Dies k\u00f6nnen sowohl materielle Sch\u00e4den als auch immaterielle Sch\u00e4den sein. Um einen Schmerzensgeldanspruch zu begr\u00fcnden, muss nach Ansicht der herrschenden Meinung dem Betroffenen ein sp\u00fcrbarer Nachteil entstanden sein, der aus einer objektiv nachvollziehbaren, mit gewissem Gewicht erfolgten Beeintr\u00e4chtigung von pers\u00f6nlichkeitsbezogenen Belangen resultiert.<\/p>\n

Verletzung der Sorgfaltspflichten<\/h2>\n

Einen solchen Anspruch sprach das Landgericht M\u00fcnchen dem Betroffenen zu. Das Gericht bejahte eine Verletzung der Sorgfaltspflichten nach Art. 32 DSGVO<\/a>, der eine sichere Datenverarbeitung vorschreibt. Au\u00dferdem wird Scalable Capital verpflichtet, dem Kl\u00e4ger alle materiellen k\u00fcnftigen Sch\u00e4den zu ersetzen.<\/p>\n

Das Landgericht sieht n\u00e4mlich in dem Datenleck<\/a> einen Versto\u00df der Beklagten gegen ihre Pflicht, f\u00fcr die Sicherheit der Verarbeitung Sorge zu tragen. So f\u00fchrt es hierzu aus, dass im Hinblick auf die Frage des Datenschutzversto\u00dfes Art. 32 DSGVO<\/a> verlange, geeignete technische und organisatorische Ma\u00dfnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gew\u00e4hrleisten. Zudem k\u00f6nnten die Anforderungen beziehungsweise Vorgaben f\u00fcr einen ordnungsgem\u00e4\u00dfen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 lit. f) DSGVO<\/a> und aus den Erw\u00e4gungsgr\u00fcnden 39 und 78 der Verordnung zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten entnommen werden. Dabei sieht es das Gericht als erwiesen an, dass unbefugte Dritte Zugriff auf Kundendaten hatten. Hierbei wurden unter anderem Namen, Anschrift, E-Mail-Adressen, Handynummern, IBAN sowie Ausweiskopien der Kunden entwendet. Diesbez\u00fcglich stellen die Richter klar, dass es sich hierbei um einen eigenen Versto\u00df der Beklagten handele, sodass sie sich nicht nur den Versto\u00df eines Dritten zurechnen lassen m\u00fcsse.<\/p>\n

Es k\u00f6nne demzufolge dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsm\u00e4ngel bei dem Drittunternehmen \u00fcberhaupt zugerechnet werden k\u00f6nnen. Denn die Beklagte habe selbst keine ausreichenden organisatorischen Ma\u00dfnahmen vorgenommen, um den streitgegenst\u00e4ndlichen Datenverlust zu verhindern, so das Gericht. Es sei daher unstreitig, dass die Beklagte die Zugangsdaten nach Beendigung der Gesch\u00e4ftsbeziehung nicht ge\u00e4ndert habe. Darauf, dass die Zugangsinformationen vollst\u00e4ndig und dauerhaft seitens des Drittunternehmens gel\u00f6scht werden, durfte die Beklagte sich im Hinblick auf den gro\u00dfen Umfang sowie aufgrund der Qualit\u00e4t und Sensibilit\u00e4t der gespeicherten Daten nicht verlassen. Da die Beklagte au\u00dferdem die L\u00f6schung offensichtlich nicht \u00fcberpr\u00fcft habe, sei es fahrl\u00e4ssig gewesen, die Zugangsdaten seit Beendigung der Gesch\u00e4ftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unver\u00e4ndert zu lassen.<\/p>\n

Identit\u00e4tsdiebstahl<\/h2>\n

Indem die T\u00e4ter versuchten, mit den gestohlenen Kundendaten Kredite zu erlangen und diese im Darknet anboten, k\u00f6nne sich der betroffene Kunde dauerhaft dem Risiko ausgesetzt sehen, dass die \u00fcber ihn erbeuteten Daten f\u00fcr Identit\u00e4tsdiebst\u00e4hle, Zugriffsversuche auf von ihm genutzten Online-Dienste oder sonstige Betrugsversuche verwendet w\u00fcrden. Aus diesen Gr\u00fcnden geht das Gericht auch davon aus, dass ein sogenannter Identit\u00e4tsdiebstahl vorliege, welcher einen Anspruch auf Schadensersatz begr\u00fcnde. Dem Kunden sei somit ein sp\u00fcrbarer Nachteil entstanden, der die Zahlung eines Schmerzensgeldes rechtfertige.<\/p>\n

Nach dem Urteil lag es nun also in der Verantwortung von Scalable Capital, die Daten ihrer Kunden zu sch\u00fctzen. Denn das Unternehmen habe im Vorhinein selbst keine ausreichenden organisatorischen Ma\u00dfnahmen getroffen, um den streitgegenst\u00e4ndlichen Datenverlust zu verhindern. Demnach sei ein datenschutzrechtlicher<\/a> Versto\u00df anzunehmen, den das Unternehmen zu vertreten habe. Es spiele au\u00dferdem keine Rolle, dass die Beklagte ausweislich eines Schreibens im Oktober 2020 nach dem Vorfall umgehend alle erforderlichen Ma\u00dfnahmen ergriffen hat, um weitere unrechtm\u00e4\u00dfige Zugriffe auf das digitale Dokumentenarchiv auszuschlie\u00dfen.<\/p>\n

Denn nach Auffassung des Gerichts sei es nicht als unzumutbar anzusehen, dass dies bereits unmittelbar nach Beendigung der Gesch\u00e4ftsbeziehung mit dem Unternehmen h\u00e4tte vorgenommen werden k\u00f6nnen. Auch wenn dies einen gewissen Aufwand erfordert h\u00e4tte (den habe es schlie\u00dflich auch im Jahre 2020 erfordert), k\u00f6nne dies keine Berechtigung daf\u00fcr sein, die Daten der Kunden in einem bestimmten Bereich der Gef\u00e4hrdung durch einen (m\u00f6glichen) unerlaubten Zugriff von au\u00dfen ausgesetzt sein zu lassen, so das Gericht. Letztlich ging das Gericht also davon aus, dass es bei Einhaltung der als ad\u00e4quat geltenden Sicherheitsma\u00dfst\u00e4be nicht zu dem konkreten Datenvorfall gekommen w\u00e4re.<\/p>\n

Auswirkungen f\u00fcr die Zukunft<\/h2>\n

Die Entscheidung des Landgerichts M\u00fcnchen stellt einen Wendepunkt dar. Denn einige andere ordentliche Gerichte verhielten sich bis jetzt sehr zur\u00fcckhaltend, wenn es darum ging, den Kl\u00e4gern einen immateriellen Schadensersatzanspruch nach einem Datenleck zuzusprechen. Erstmals schafft es eine Kl\u00e4gerin, ein Gericht von einem schuldhaften Versto\u00df f\u00fcr ein Datenleck und einem kausalen Schaden zu \u00fcberzeugen. Insoweit hat das Landgericht M\u00fcnchen die Anspruchsvoraussetzungen des Art. 82 DSGVO<\/a> konsequent durchgepr\u00fcft und letztlich auch bejaht.<\/p>\n

Aus diesem Grund ist zu erwarten, dass das Urteil erhebliche Indizwirkung f\u00fcr die Geltendmachung von Anspr\u00fcchen aus Art. 82 DSGVO<\/a> haben wird und viele von Datenlecks betroffene Verbraucher animieren wird, Schmerzensgeld gegen Unternehmen geltend zu machen. F\u00fcr Unternehmen bedeutet die Entscheidung, dass noch mehr als sonst jeder Datenverarbeitungsvorgang auf seine Konformit\u00e4t mit der Datenschutz-Grundverordnung \u00fcberpr\u00fcft werden muss. Vor allem dann, wenn solche Vorg\u00e4nge durch beauftragte Dritte durchgef\u00fchrt werden sollen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Immer h\u00e4ufiger h\u00f6rt man davon, dass Daten nach einem Datenleck an unbefugte Dritte oder gar ins Darknet gelangen. Dabei handelt es sich um einen Datenschutzversto\u00df, weshalb den Betroffenen grunds\u00e4tzlich ein Schadensersatzanspruch nach Art. 82 der Datenschutz-Grundverordnung (DSGVO) zusteht. Jedoch nur dann, wenn die Voraussetzungen auch alle gegeben sind. \u00a0Datenschutzversto\u00df bei Neobroker Im Oktober 2020 teilte […]<\/p>\n","protected":false},"author":85,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[8],"tags":[389,934,17191,19023],"class_list":["post-60353","post","type-post","status-publish","format-standard","hentry","category-datenschutzrecht","tag-schadensersatz","tag-identitatsdiebstahl","tag-dsgvo","tag-datenleck","topic_category-datenschutzrecht"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/60353","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/85"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=60353"}],"version-history":[{"count":0,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/60353\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=60353"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=60353"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=60353"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}