Sie befinden sich hier:

Immaterieller Schadensersatz wegen unbefugten Zugriff Dritter auf das Datenarchiv einer Beklagten

Das Landgericht München hat ein Unternehmen dazu verurteilt, einem Kunden 2.500,- Euro Schmerzensgeld wegen unbefugten Zugriffs Dritter auf die beim Unternehmen gespeicherten Identitätsdaten des Betroffen zu zahlen.

Tatbestand

Der Kläger ist Kunde der Beklagten. Vor dem Eingehen der Geschäftsbeziehung hat der Kläger der Beklagten zahlreiche personenbezogene Daten zur Verfügung gestellt. Außerdem musste er sich mittels Postident-Verfahren legitimieren, wobei sein Personalausweis abfotografiert wurde.

In der Folgezeit nutzte der Kläger sein Kundenkonto für die Geldanlage in Aktien und Wertpapiere. Am 19.10.2020 wurde der Kläger von der Beklagten darüber informiert, dass von unbefugten Dritten unrechtmäßig auf einen Teilbestand der in Ihrem Datenarchiv abgelegten Daten zugegriffen wurde. Dabei wurden die folgenden Daten entwendet:

Vor- und Nachname, Anrede, Anschrift, E-Mail-Adresse, Handynummer, Geburtsdatum, -ort und -land, Staatsangehörigkeit, Familienstand, Steuerliche Ansässigkeit und Steuer-ID, IBAN, Ausweiskopie, Portraitfoto, welches im Post-Ident-Verfahren angefertigt wurde.

Die Beklagte hatte bei ihrem früheren Dienstleister Zugangsinformationen zu ihrem vollständigen IT-System hinterlegt. Der Angreifer verschaffte sich mithilfe dieser Zugangsdaten Zugriff auf einen Teil des Dokumentenarchivs und die darin befindlichen Kundendaten.

Der oder die Täter versuchten, mit den gestohlenen Kundendaten Kredite zu erlangen. Weiterhin ergibt sich aus der Ermittlungsakte, dass die gestohlenen Daten im Darknet angeboten wurden.

Aufgrund dessen ist der Kläger der Ansicht, dass er nunmehr dauerhaft dem Risiko ausgesetzt ist, dass die über ihn erbeuteten Daten für Identitätsdiebstähle, Zugriffsversuche auf von ihm genutzten Online-Dienste oder sonstige Betrugsversuche verwendet werden. So sei es bereits zu insgesamt 10 fehlgeschlagenen Login-Versuchen bei seinem E-Mail-Anbieter gekommen.

Der Kläger ist daher der Ansicht, dass ihm deshalb Ansprüche gem. Art. 82 Abs. 1 DSGVO i. V. m. § 253 BGB zustehen, da die Beklagte seine Daten unter Verstoß gegen Art. 32 DSGVO verarbeitet habe.

Aus den Entscheidungsgründen

Der Kläger hat gegenüber der Beklagten einen Anspruch auf Zahlung von 2.500,- Euro gem. Art. 82 Abs. 1 DSGVO als immateriellen Schadensersatz.

Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Nach Art. 82 Abs. 3 DSGVO trägt die Darlegungs- und Beweislast für die haftungsbegründenden Voraussetzungen nach allgemeinen zivilprozessualen Grundsätzen der Anspruchsberechtigte. Eine Beweislastumkehr ist in Art. 82 Abs. 3 ausdrücklich nur bezüglich des Gesichtspunkts des Verschuldens vorgesehen. Dem Verletzten obliegt es daher auch, den Datenschutzverstoß zu beweisen. Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DSGVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. Hierauf kann jedoch eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden.

Im Hinblick auf die Frage des Datenschutzverstoßes verlangt Art. 32 DSGVO (Sicherheit der Verarbeitung) geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Art. 5 Abs. 1 lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003 entnommen werden.

Insbesondere nennt der Erwägungsgrund 39 als geforderte Maßnahmen, dass gewährleistet ist, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Die Anlage zu § 9 BDSG 2003 listete technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 lit. f eingesetzt werden können.

Unter Zugrundelegung dieser Vorgaben hat die Beklagte einen Datenschutzverstoß begangen.

Hierbei kann dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen zugerechnet werden können. Denn die Beklagte hat selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DSGVO).

So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen nach Beendigung der Geschäftsbeziehung nicht geändert hat. Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen. Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn - wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden.

Sofern die Beklagte ausweislich Ihres Schreibens vom 19.10.2020 nach dem Vorfall umgehend alle erforderlichen Maßnahmen ergriffen hat, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen, so ist es - entgegen der Ansicht des Beklagten - nicht als unzumutbar anzusehen, dass dies bereits unmittelbar nach Beendigung der Geschäftsbeziehung mit dem Unternehmen hätte getan werden können. Auch wenn dies einen gewissen Aufwand erfordert hätte - und jetzt ja auch erfordert hat, kann dies keine Berechtigung dafür sein, die Daten der Kunden in einem bestimmten Bereich der Gefährdung durch einen (möglichen) unerlaubten Zugriff von außen ausgesetzt sein zu lassen.

Wenn die Beklagte außerdem betont, dass es sich bei um ein unabhängiges Unternehmen handelt, dessen etwaige Unzulänglichkeiten ihr daher von vornherein nicht zugerechnet werden können, ist dies unerheblich. Denn es lag eben auch eine Unzulänglichkeit auf Seiten der Beklagten bzw. ein eigener DSGVO-Verstoß vor, und gerade die seitens der Beklagten vorgetragene fehlende rechtliche und tatsächliche Möglichkeit, den Löschungsprozess bei zu beaufsichtigen, zu kontrollieren oder anzuweisen erforderte auf Seiten der Beklagten die Vornahme entsprechender eigener Sicherungsmaßnahmen.

Es liegt auch die erforderliche Kausalität zwischen dem „DSGVO-Verstoß“ und dem „Schaden“ vor. Art. 82 Abs. 1 DSGVO verlangt, dass der Schaden infolge eines konkreten DSGVO-Verstoßes eintritt. Es genügt zwar nicht, dass ein Schaden bloß auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen war (OLG Stuttgart, Urteil vom 31. März 2021, Az. 9 U 34/21, S. 8, Anlage B 2), vorliegend beruht der Schaden aber nicht nur auf eine solche Verarbeitung. Es ist davon auszugehen, dass es bei Einhaltung der als adäquat geltenden Sicherheitsmaßstäbe nicht zu dem konkreten Datenvorfall gekommen wäre.

Die Erwägungsgründe 75 und 85 DSGVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DSGVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“. Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren. Denn nur so wäre eine effektive Durchsetzung des EU-Rechts - und damit auch der DSGVO - gewährleistet.

Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet.

Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten, wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt.

Allerdings muss bei der Bemessung der Höhe des immateriellen Schadensersatzes berücksichtigt werden, dass die streitgegenständlichen Daten offensichtlich bislang noch nicht, jedenfalls nicht zu Lasten des Klägers missbraucht worden sind und von daher allenfalls eine mehr oder weniger hohe Gefährdung angenommen werden kann. Berücksichtigt werden muss jedoch auch – wie oben angesprochen – die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes. Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht einen (immateriellen) Schadensersatz in Höhe von 2.500, - Euro als angemessen.

Fundstelle: Urteil des LG München vom 09.12.2021 (31 O 16606/20 ) – abrufbar im Internet beispielsweise unter https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2021-N-41707?hl=true

nach oben