18. März 2022
Datenschutz Schadensersatz Identitätsdiebstahl
Datenschutzrecht

Klagewelle wegen Schadensersatz nach Datenschutzverstoß?

Erneut hat ein Gericht einem Kläger Schadensersatz aufgrund eines Datenschutzverstoßes zugesprochen. Droht eine Klagewelle weiterer, betroffener Kunden?

Das LG München hat mit Urteil vom 9. Dezember 2021 (31 O 16606/20) einem Kläger immateriellen Schadensersatz in Höhe von EUR 2.500 wegen eines Datenschutzverstoßes zugesprochen. Ebenso verurteilte das Gericht das beklagte Unternehmen dazu, dem Kunden alle materiellen Schäden zu ersetzen, die ihm aufgrund des Datenschutzverstoßes zukünftig entstehen werden. 

Dadurch steigt die Zahl der Urteile, in denen Gerichte Klägern* Schadensersatz wegen DSGVO-Verstößen zuerkennen, weiter an.

Zugangsinformationen zu eigenen IT-Servern bei externem Dienstleister hinterlegt

Der Kläger besaß bei dem beklagten Unternehmen – ein Finanzunternehmen – ein Konto zur Geldanlage in Form von Aktien und Wertpapieren. Hierzu hatte er dem Unternehmen personenbezogene Daten zur Verfügung gestellt, u.a. seine Adresse, Handynummer, IBAN und Steuer-ID. 

Die Beklagte hatte diese Daten auf der eigenen IT-Infrastruktur gespeichert. Über die Zugangsdaten hierzu verfügte auch ein externer Software-Dienstleister, der bis 2015 für die Beklagte tätig war. Diese Zugangsdaten hatte die Beklagte nach Ausscheiden des Dienstleisters nicht geändert und auch die Löschung der Zugangsdaten bei diesem nicht kontrolliert. Unbefugten Dritten gelang es, sich diese Zugangsinformationen von dem externen Software-Dienstleister zu verschaffen. Mit diesen Zugangsinformationen konnten sie im Jahr 2020 die o.g. personenbezogenen Daten des Kunden von der IT-Infrastruktur des beklagten Finanzunternehmens entwenden. Insgesamt waren Daten von 33.200 Kunden betroffen.

Eigener Datenschutzverstoß trotz Cyber-Angriff auf externen Dienstleister

Das LG ist unter Verweis auf Urteile des OLG Stuttgart und LG Frankfurt der Auffassung, dass ein Kläger einen Verstoß gegen die DSGVO gem. Art. 82 Abs. 3 DSGVO nachweisen muss; eine Beweislastumkehr im Zivilprozess bestehe trotz Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO nicht, diese würden nur für die Rechenschaftspflicht gegenüber Aufsichtsbehörden gelten.

Das LG erkannte aber einen nachgewiesenen Datenschutzverstoß durch das Finanzunternehmen gem. Art. 32 DSGVO. Demnach muss ein datenverarbeitendes Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau der gespeicherten Daten zu gewährleisten. Erwägungsgrund 39 der DSGVO fordert zudem, dass gewährleistet sein muss, dass Unbefugte keinen Zugang zu den Daten haben. 

Dem sei die Beklagte nicht nachgekommen, so das LG. Denn nach Beendigung der Geschäftsbeziehung mit dem Software-Dienstleister habe die Beklagte weder die Zugangsdaten zur eigenen IT-Infrastruktur geändert noch habe sie sichergestellt, dass der Software-Dienstleister die Zugangsinformationen vollständig löscht. Damit habe die Beklagte in fahrlässiger Weise bezogen auf die eigene IT-Infrastruktur keine organisatorischen Sicherungsmaßnahmen getroffen, um die dort gespeicherten Daten angemessen, d.h. der Sensibilität der Daten und der Datenmenge entsprechend, vor einem Zugriff unbefugter Dritter zu schützen. 

Aufgrund des eigenen DSGVO-Verstoßes könne die Beklagte auch nicht mit dem Argument gehört werden, dass ihr etwaige Sicherungsmängel des Software-Dienstleisters nicht zugerechnet werden könnten. Denn darauf komme es bereits nicht mehr an. 

Immaterieller Schaden in Form von Identitätsdiebstahl ersatzfähig

Infolge des Datenschutzverstoßes bejahte das LG einen Anspruch des Klägers gem. Art. 82 Abs. 1 DSGVO auf Ersatz des ihm entstandenen immateriellen Schadens. Zwar hatte der Kläger durch den Datenschutzverstoß noch keine materiellen Schäden, also keine echte Vermögenseinbuße, erlitten. Gem. Art. 82 Abs. 1 DSGVO können aber ausdrücklich auch immaterielle Schäden ersetzt werden. Nach den Erwägungsgründen 75 und 85 der DSGVO können z.B. Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung und die unbefugte Aufhebung einer Pseudonymisierung einen immateriellen Schaden begründen.

Das LG sah in diesem Fall einen solchen immateriellen Schaden aufgrund eines angenommenen „Identitätsdiebstahls“ für gegeben an. Hierfür spreche Umfang und Art der entwendeten Daten – hier insbesondere Personalien, Ausweisdaten, Kontodaten, Steuerdaten. Diese könnten sich Dritte für eine Identitätstäuschung zu Nutze machen, um sich damit rechtswidrig Vorteile zu verschaffen. 

Hinsichtlich der Höhe des zugesprochenen Schadensersatzes – EUR 2.500 – wies das LG einerseits auf den Zweck des Schadensersatzes, eine abschreckende Wirkung zu erzielen (vgl. Art. 4 Abs. 3 EUV), hin. Andererseits berücksichtigte das Gericht zugunsten der Beklagten, dass es noch zu keiner missbräuchlichen Verwendung der entwendeten Daten gekommen war.    

Weitreichende Folgen: Gefahr der Multiplikation des Schadensersatzes

Zwar ist in diesem Fall – wie auch in anderen Fällen – die dem Einzelkläger zugesprochene Schadensersatzsumme aufgrund eines Anspruchs aus Art. 82 Abs. 1 DSGVO für sich genommen nicht hoch. Dennoch kann ein einziges positives Urteil dieser Art mit erheblichen finanziellen Konsequenzen für ein Unternehmen einhergehen. 

Dies betrifft insbesondere die Gefahr der Multiplikation des Schadensersatzes. Denn zu berücksichtigen ist stets die enorme Streubreite der Schäden aus einen Datenschutzverstoß. Dies belegt eindrücklich der hiesige Fall mit 33.200 betroffenen Kunden. All diese kommen als mögliche Kläger in Betracht, was zu einem potenziellen Schaden des Unternehmens in zweistelliger Millionenhöhe (EUR 83 Mio.) führen könnte. Hinzu kämen die ggf. ebenfalls zu ersetzenden und der Höhe nach noch nicht absehbaren materiellen Schäden der betroffenen Kunden, sofern solche zu einem späteren Zeitpunkt einträten.

Bedenkt man darüber hinaus, dass sich aktuell in Europa eine stetig wachsende „Klageindustrie“ etabliert, die immer aktiver um Kunden wirbt und dabei auch anbietet, das Prozesskostenrisiko zu übernehmen, erscheint es keineswegs unrealistisch, dass betroffene Kunden wegen möglicher Schadensersatzansprüche nach Art. 82 DSGVO vor Gericht ziehen werden und dadurch eine Klagewelle auslösen. Auf den Plan gerufen werden könnte eine solche „Klageindustrie“ vor allem dann, wenn Unternehmen nach Art. 34 DSGVO eine Vielzahl von betroffenen Kunden über eine Verletzung des Schutzes personenbezogener Daten informieren müssen. Dann kann diese „Zielgruppe“ durch entsprechende Anzeigen und andere Informationen auf die Möglichkeit einer Schadensersatzforderung hingewiesen werden.

Neben möglichen Klagewellen besteht für Unternehmen die weitere Gefahr durch Bußgelder. Bei einzelnen Verstößen können Bußgelder in Höhe von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens verhängt werden (wobei eine umfangreiche Inanspruchnahme auf Schadensersatz durch betroffene Personen nach unserer Auffassung bußgeldmindernd zu berücksichtigen wäre). 

Angemessene Maßnahmen zum Schutz der personenbezogenen Daten gem. Art. 32 DSGVO frühzeitig umsetzen

Das Urteil zeigt erneut eine klare Tendenz dahingehend auf, immaterielle Schadensersatzansprüche anzuerkennen. Hilfreich war für den Kläger in diesem Falle sicher, dass die staatsanwaltschaftlichen Akten den Vorfall umfassend aufgearbeitet haben und so der Nachweis einfacher war, dass ein Sicherheitsverstoß vorlag. Für die Bejahung eines immateriellen Schadens war ebenso sicher hilfreich, dass die Daten im Darknet zum Verkauf angeboten wurden (unabhängig davon, ob dies wirklich schon einen Identitätsdiebstahl begründet – die Daten wurden bisher gerade nicht „erfolgreich“ missbräuchlich verwendet).  

Für Unternehmen ist das Urteil ein weiterer Weckruf, größtmögliche Sorgfalt bei der Einhaltung von Maßnahmen zur Datensicherheit walten zu lassen, um meldepflichtige Sicherheitsvorfälle nach Art. 33/34 DSGVO zu vermeiden. Zudem kann eine gute Vorarbeit und Umsetzung angemessener Maßnahmen zum Schutz der personenbezogenen Daten gem. Art. 32 DSGVO selbst im Falle eines Vorfalls haftungsbefreiend sein. 

Auch die Formulierung der Hinweise an betroffene Personen über Risiken des Vorfalls nach Art. 34 Abs. 2, Art. 33 Abs. 3 c) und d) DSGVO will – natürlich unter Beachtung der gesetzlichen Anforderungen – gut durchdacht sein. Denn in den Hinweisen benannte mögliche Risiken (wie hier der „Identitätsmissbrauch“) können Kläger und Gerichte als Indiz für einen ausreichenden immateriellen Schaden heranziehen.

*Gemeint sind Personen jeder Geschlechtsidentität. Lediglich der leichteren Lesbarkeit halber wird künftig bei allen Bezeichnungen nur noch die grammatikalisch männliche Form verwendet.

Tags: Datenschutzrecht Dispute Resolution Identitätsdiebstahl immateriell Litigation Massenverfahren Prozessführung Schadensersatz