16.02.2022

Schmerzens­geld für gestohlene Daten – ein teurer Datenschutz­verstoß

Diebe stehlen einem Finanzdienstleister fast 400.000 Datensätze, die aus Nachlässigkeit Angreifern zugänglich waren. Das könnte das Unternehmen in Form von Schadensersatzzahlungen teuer zu stehen kommen.

Schmerzens­geld für gestohlene Daten – ein teurer Datenschutz­verstoß

Ein Datenbestand mit Daten von 33.200 Personen

Der Datenbestand des Finanzdienstleisters hatte es buchstäblich in sich. Gespeichert waren 389.000 Datensätze von 33.200 Personen. Der Kläger war eine dieser Personen. Natürlich ging er davon aus, dass der Finanzdienstleister einen solchen Datenschatz hütet wie seinen eigenen Augapfel.

Unbekannte stehlen umfangreiche Daten des Klägers

Leider zeigte sich, dass dies nicht der Fall war. Am 19.10.2020 teilte der Finanzdienstleister dem Kläger mit, dass unbekannte Personen Daten entwendet hätten. Davon betroffen waren folgende Daten des Klägers:

  • Adresse
  • Handynummer
  • Geburtsdatum
  • Geburtsort
  • Geburtsland
  • Staatsangehörigkeit
  • Familienstand
  • steuerliche Ansässigkeit und Steuer-ID
  • IBAN
  • Ausweiskopie
  • Porträtfoto (entstanden bei der Nutzung des Post-Ident-Verfahrens)

Ein Dienstleister hatte alle Zugangsdaten erhalten

Zu diesem Vorfall konnte es kommen, weil der Finanzdienstleister bis zum Jahr 2015 mit einen IT-Dienstleister zusammenarbeitete. Diesem IT-Dienstleister hatte er die Zugangsinformationen für das gesamte IT-System zur Verfügung gestellt. Die Zugangsinformationen änderte der Finanzdienstleister auch dann nicht, als er Ende 2015 den Vertrag mit dem IT-Dienstleister beendete.

Das nutzten die Täter aus

Diese Schwachstelle machten sich die unbekannten Angreifer zu Nutze. Sie verschafften sich bei dem IT-Dienstleister die Zugangsdaten zum System des Finanzdienstleisters. Mithilfe dieser Zugangsdaten konnten sie auf zahlreiche Kundendaten zugreifen, unter anderem auf die Daten des Klägers. Zu diesen Zugriffen kam es ab April 2020.

Erst nach diesem Vorfall änderte der Finanzdienstleister im Oktober 2020 die Zugangsdaten zu seinem IT-System.

Noch ist „nichts passiert“

Materiellen Schaden, der sich in Geld messen ließe, haben die unbekannten Täter dem Kläger bisher nicht zugefügt. Allerdings kam es beispielsweise am 27.9.2020 zu insgesamt zehn fehlgeschlagenen Login-Versuchen bei seinem E-Mail-Account.

Der Kläger lebt deshalb in ständiger Angst, dass die unbekannten Täter die erbeuteten Daten beispielsweise für Identitätsdiebstähle oder Betrugsversuche benutzen.

Der Kläger verlangt zweifachen Schadensersatz

Der Kläger verlangt vom Finanzdienstleister als Beklagten in zweierlei Hinsicht Schadensersatz:

  • Zum einen verlangt er die Feststellung, dass der Beklagte verpflichtet ist, „dem Kläger alle materiellen künftigen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv des Beklagten im Zeitraum von April bis Oktober 2020 entstanden sind.“
  • Zum anderen fordert er ein angemessenes Schmerzensgeld, dessen Höhe er in das Ermessen des Gerichts stellt.

Anspruchsgrundlage ist Art. 82 DSGVO

Das Gericht ist der Auffassung, dass beide Ansprüche bestehen. Es stützt sie auf Art. 82 Abs. 1 Datenschutz-Grundverordnung (DSGVO). Diese Regelung lautet wie folgt: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Noch ist kein materieller Schaden entstanden

Im Augenblick sind dem Kläger noch keine materiellen Schäden entstanden, also keine Schäden, die man direkt in Geld messen könnte, wie etwa eine unerlaubte Abhebung von einem Konto.

Bei einem solch umfangreichen Datenzugriff sei bei lebensnaher Betrachtung jedoch davon auszugehen, dass die Täter illegale Absichten verfolgen, so das Gericht.

Deshalb stellt das Gericht die Ersatzpflicht nur generell fest

Angebracht ist deshalb die gerichtliche Feststellung, dass der Beklagte etwaige künftige Schäden ersetzen muss. Der Kläger hat schon deshalb ein Interesse an einer solchen Feststellung, damit keine Verjährung von Ansprüchen droht.

Die Sicherheit der Verarbeitung war nicht gewährleistet

Ein Verstoß des Beklagten gegen die DSGVO liegt vor. Er besteht darin, dass der Beklagte die Vorgaben zur Sicherheit der Verarbeitung nicht eingehalten hat, die Art. 32 DSGVO gebietet. Diese Regelung fordert geeignete technische und organisatorische Maßnahmen, um ein Schutzniveau zu gewährleisten, das dem Risiko angemessen ist.

Das ermöglichte einen Zugriff durch Unbefugte

Derartige Maßnahmen müssen Unternehmen unter anderem gegen das Risiko ergreifen, dass außenstehende Personen unbefugt auf die Daten zugreifen. Gegen diese Pflicht hat der Beklagte jedenfalls dadurch verstoßen, dass er die Zugangsdaten nicht geändert hat, nachdem er den Vertrag mit dem IT-Dienstleister beendet hatte.

Die Ausreden des Beklagten weist das Gericht zurück

Der Beklagte versuchte sich damit herauszureden, er sei davon ausgegangen, dass der IT-Dienstleister nach Beendigung der Geschäftsbeziehung die Zugangsdaten vollständig und dauerhaft löschen würde.

Darauf durfte sich der Beklagte jedoch nach Auffassung des Gerichts nicht verlassen. Dafür seien die gespeicherten Daten zu sensibel gewesen. Hinzu komme, dass es sich um erhebliche Mengen von Daten gehandelt habe.

Das Gericht spricht hier Klartext. Nach seiner Auffassung war es seitens des Beklagten schlicht fahrlässig, „die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahr 2015 bis zum Zugriff auf die Kundendaten des Beklagten im Jahr 2020 mehrere Jahre lang unverändert zu lassen.“

Der Kläger erhält 2.500 € Schmerzensgeld

Dem Kläger steht nach Auffassung des Gerichts ein Schmerzensgeld zu. Dabei hält es einen Betrag von 2.500 € für angemessen. Das soll dem Kläger einen Ausgleich für den entstandenen immateriellen Schaden bieten.

Ein immaterieller Schaden ist nicht direkt in Geld zu beziffern. Als Beispiele für immaterielle Schäden nennen die Erwägungsgründe 75 und 85 zur DSGVO unter anderem Identitätsdiebstahl und Identitätsbetrug, Rufschädigung und sonstige wirtschaftliche oder gesellschaftliche Nachteile.

Das soll ihn für den Identitätsdiebstahl entschädigen

Da von einem Identitätsdiebstahl auszugehen ist, liegt ein immaterieller Schaden vor.

  • Dabei ist nach Auffassung des Gerichts allerdings zu berücksichtigen, dass die Daten des Klägers jedenfalls bisher noch nicht missbraucht worden sind. Von daher sei lediglich eine mehr oder weniger hoher Gefährdung anzunehmen.
  • Andererseits sei zu berücksichtigen, dass ein immaterieller Schadensersatz auch eine abschreckende Wirkung haben solle.

Unter Abwägung beider Gesichtspunkte hält das Gericht einen immateriellen Schadensersatz in Höhe von 2.500 € für angemessen.

Dass das Gericht den Beklagten verpflichtet, alle materiellen Schäden zu ersetzen, die künftig entstehen, wird niemand kritisieren. Diese Verpflichtung tut dem Beklagten im Augenblick allerdings noch nicht weh. Denn im Ernstfall muss der Kläger erst einmal beweisen, dass der Datendiebstahl die Schadensvorfälle ermöglicht hat. Das wird ihm nicht leichtfallen.

WICHTIG

Ob 2.500 € Schmerzensgeld wirklich genug sind?

Ob man den immateriellen Schadensersatz, also das Schmerzensgeld in Höhe von 2.500 €, für angemessen hält, ist Ansichtssache. Der Kläger wird den Betrag als eher gering empfinden. Denn schließlich lebt er einstweilen ständig in der Angst, dass seine Daten missbraucht werden. Und die meisten gestohlenen Daten kann er noch nicht einmal ändern.

 

Der Beklagte fürchtet den Summeneffekt

Der Beklagte dürfte intern eine völlig andere Rechnung aufmachen. Offensichtlich sind von dem Datendiebstahl insgesamt 33.200 Personen betroffen. Wenn jetzt auch nur 10.000 Betroffene nach dem Vorbild des Klägers Schmerzensgeld fordern und so wie er erhalten, ergibt sich eine beachtliche Gesamtsumme von 25 Millionen €. Schon allein dies könnte das wirtschaftliche Ende des Beklagten bedeuten.

Das Urteil des Landgerichts München I vom 9.12.2021 – 31 O 16606/20 ist abrufbar unter https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2021-N-41707?hl=true.

Autor*in: Dr. Eugen Ehmann (Dr. Ehmann ist Regierungsvizepräsident von Mittelfranken und ist seit Jahren im Datenschutz aktiv.)