Zum Inhalt springen

Schadensersatz nach Datenleck für DSGVO-Verstoß: Scalable

++ 2.500,- € Schadenersatz / Schmerzensgeld nach Datenleck bei Scalable: DSGVO-Datenschutzvorfall (LG München) ++

Ein Kläger bekam vom dem Landgericht München (Urteil vom 9.12.2021) Schadenersatz in Höhe von 2.500,- € wegen eines Datenlecks zugesprochen, der zu einer DSGVO-Datenschutzverletzung führte (LG München I, Az.: 31 O 16606/20). Gegenstand war ein Datenleck bei dem Onlinebroker Scalable.

Es handelt sich um einen immateriellen Schaden (Schmerzensgeld). Kläger war der Kunde eines Finanzdienstleistungsunternehmens (Scalable). Aus einer Pressemitteilung des Vereins EuDG (Europäische Gesellschaft für Datenschutz) geht hervor, dass dies offenkundig der erste Fall in Deutschland ist, bei dem Schadenersatz in beträchtlicher Höhe wegen eines Datenlecks erstritten wurde.

Datenleck bei Scalable führt zu Schadensersatz

Der Kläger hatte Scalable vor dem LG München verklagt, da dieser Broker über einen Dritte Dienstleister personenbezogenen Daten übermittelte. Er führte bei Scalable ein Geldanlagekonto (Depot). Dort kam es zu einem Datenleck.

Durch einen Hacker wurde im Herbst 2020 auf das Datenarchiv des Finanzdienstleisters Scalable zugegriffen. Dabei entwendete der Hacker alle relevanten personenbezogenen Daten des Klägers (Adress-, Kommunikations-, Bank- und Steuerdaten sowie das hinterlegte Porträtfoto aus dem Ausweis).

Es gab insgesamt drei Hackerangriffe auf den Finanzdienstleister, wobei Daten von 33.200 Kunden entwendet wurden. Bemerkenswert an diesem Fall ist, dass die Daten auf dem Umweg über einen früheren IT-Dienstleister des beklagten Finanzdienstleisters entwendet wurden, mit dem die Geschäftsbeziehung schon 2015 geendet hatte.

Der frühere Dienstleister verfügte noch über den Zugangscode zu den Daten von Scalable, der diesen nach dem Ende der Geschäftsbeziehung nicht geändert hatte. Der Hacker beschaffte sich zunächst beim IT-Dienstleister diesen Code und griff dann damit Scalable an.

Der konkrete Schaden für dessen betroffene Kunden entstand dadurch, dass der Hacker (oder die Hackergruppe) versuchte, sich mit den personenbezogenen Kundendaten an andere Stelle Kredite zu beschaffen. Auch wurden im Darknet die gestohlenen Daten angeboten. Der Kläger muss nach seiner Auffassung nun dauerhaft mit Identitätsdiebstahl aufgrund dieses Datenlecks rechnen.

DSGVO Schadensersatz für Datenleck, Datenmissbrauch

Das Landgericht verurteilte Scalable wegen des fahrlässigen Umgangs mit dem Zugangscode für den früheren IT-Dienstleister 

  • zu immateriellem Schadenersatz von 2.500,- € sowie
  • zum Ersatz aller künftigen Schäden, die dem Kläger aus dem Datendiebstahl entstehen.

Die Rechtsgrundlagen für diese Entscheidung sind Artikel 32, 82 DSGVO und § 253 BGB.

Das Urteil ist deshalb bemerkenswert, weil der Finanzdienstleister wegen des DSGVO-Verstoßes praktisch für alle Zeit in der Haftung für Schäden aus dem betreffenden Datenleck steht.

Unternehmen, die personenbezogene Daten verarbeiten, sollten diesem Urteil daher große Beachtung schenken. Der Schadenersatz für künftige materielle Schäden von Betroffenen erhöht das Schadensersatzrisiko beträchtlich, wenn es in einem Unternehmen ein Datenleck gibt.

Solche Schäden entstehen nicht nur, weil möglicherweise wirklich ein Krimineller mit den personenbezogenen Daten des Kunden einen Kredit erlangt oder einen anderweitigen Betrugsversuch startet, sondern auch, weil der Betroffene verschiedene Daten ändern möchte oder muss (zum Beispiel die Bankverbindung und die Kommunikationsdaten), um sich vor Identitätsdiebstahl zu schützen, sowie womöglich einen IT-Dienstleister beauftragen muss, den Umfang des Schadens zu ermitteln.

Wenn es tatsächlich Schäden durch einen Identitätsdiebstahl geben sollte, so wären diese kausal nachweisbar. Das Landgericht München führte dazu aus, dass ein Feststellungsinteresse nach § 256 Absatz 1 ZPO unbedingt zu bejahen sei. Die Möglichkeit weiterer Nachfolgeschäden durch einen Identitätsdiebstahl sei sehr real. Sie bestehe so lange, wie der Kläger nach Maßgabe aller Umstände mit dem Eintritt eines Schadens rechnen müsse. Dass die Täter in betrügerischer Weise gehandelt hätten, sei bei lebensnaher Betrachtung unabweisbar.

Beweislast beim Kläger

Wie auch die meisten Gerichte, die sich mit dieser Thematik in der Vergangenheit beschäftigten, sah auch das LG München die Beweislast für Schäden nach einem Datenleck beim Kläger. Ausgenommen sei davon nur das Verschulden des in Anspruch genommenen Unternehmens. Es gibt in solchen Fällen auch eine Beweislastumkehr, doch dies gilt nur gegenüber Behörden (Artikel 5 Absatz 2, Artikel 24 Absatz 1 DSGVO). Der Kläger konnte der Darlegungs- und Beweislast in dem Verfahren vollständig nachkommen.

Verschulden für Datenleck lag bei Scalable

Scalable hat nach der Auffassung des LG München seine Pflicht zur Ergreifung geeigneter Sicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten verletzt. Diese ergibt sich aus Artikel 32 DSGVO (Sicherheit der Datenverarbeitung). Demnach müssen Datenverarbeiter ein Schutzniveau gewährleisten, das dem Risiko angemessen ist.

Die Pflichtverletzung lag vorliegend maßgeblich in dem Umstand, dass unterlassen wurde, dass Passwort zu ändern, dass in Bezug auf den alten IT-Diensleister genutzt wurde. Nur durch die Erbauung dieses „alten“ Passworts konnte es letztendlich zu dem Datenleck kommen.

Björn Wrase

Björn Wrase

RA Björn Wrase: Anwalt für AI/KI- & IT-Recht, Medien- und Urheberrecht, Wettbewerbsrecht, Markenrecht und DatenschutzView Author posts