Datenleck: Schadenersatz für Endkunden
Verstöße gegen datenschutzrechtliche Bestimmungen können teuer werden. Das nicht nur wegen deshalb verhängter Bußgelder. Es können auch Schadensersatzansprüche von Betroffenen bestehen.
Das Landgericht München hat nun einem Endkunden Schadensersatz wegen Datenschutzverstößen seines Vertragspartners zugesprochen (Entscheidung vom 09.12.2021, Az. 31 O 16606/20).
Im Oktober 2020 kam es bei dem beklagten Finanzdienstleistungsunternehmen zu einem größeren Datenleck. Die Beklagte hatte bei ihrem früheren Dienstleister Zugangsinformationen zu ihrem gesamten IT-System hinterlegt und diese nach Vertragsbeendigung im Jahr 2015 unverändert weitergenutzt. Mithilfe dieser Zugangsdaten konnten sich Angreifer dann Zugriff auf einen Teil des Dokumentenarchivs der Beklagten und die darin befindlichen, teils sensiblen Kunden- und Finanzdaten u.a. des Klägers verschaffen.
Das Landgericht München sprach dem Kläger aus diesem Vorfall immateriellen Schadensersatz in Höhe von 2.500,00 € nach § 82 Abs. 1 DSGVO zu.
Durch die unveränderte Weiternutzung der Zugangsdaten nach der Beendigung der Geschäftsbeziehung mit dem Dienstleister unterließ es die Beklagte unter Verstoß gegen Art. 32 DSGVO, ausreichende organisatorische Maßnahmen zur Verhinderung des Datenverlusts zu unternehmen. Damit kam es auch nicht mehr darauf an, ob der Beklagten etwaige Sicherheitslücken beim Dienstleister zuzurechnen waren, da bereits ein eigenes schuldhaftes Verhalten der Beklagten vorlag. Es war fahrlässig, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen.
Obwohl die erlangten Daten durch die Angreifer bislang nicht missbraucht worden waren, bejahte das Gericht einen immateriellen Schaden des Klägers. Der Schadensersatz sei auch wegen des gesetzgeberischen Ziels einer Abschreckungswirkung in Höhe von 2.500,00 € zu bemessen.
Thomas Haschert Mag. iur., Fachanwalt für Arbeitsrecht, Fachanwalt für internationales Wirtschaftsrecht, Datenschutzbeauftragter der Kanzlei, Datenschutzauditor und
Rechtsreferendarin Janina Barg