Relevant für Sie, wenn: Sie personenbezogene Daten verarbeiten und (jemals) ein Wechsel eines Dienstleisters mit Zugangsrechten stattgefunden hat.
Zum Sachverhalt
Der Kläger befand sich in einer Geschäftsbeziehung mit der Beklagten. Zur Begründung der Geschäftsbeziehung war die Angabe umfangreicher personenbezogener Daten notwendig.
Einem Dienstleister (CS) der Beklagten wurde vollständiger Zugriff auf das gesamte IT-System der Beklagten ermöglicht. Nachdem die Geschäftsbeziehung mit CS beendet war, hatte es die Beklagte versäumt, die Zugangsdaten zu ihrem IT-System zu ändern. Eine Zugriffsmöglichkeit durch CS bestand damit über das Ende der Geschäftsbeziehung hinaus.
Nach einem Cyber-Angriff auf CS hatten Angreifer (bisher nicht ermittelt) die Zugangsdaten von CS dazu verwendet, die personenbezogenen Daten des Klägers sowie weiterer 33 000 Kunden der Beklagten abzugreifen.
Entwendet wurden folgende Daten:
Vor- und Nachnahme, Anrede, Anschrift, e-Mailadresse, Handynummer, Geburtsdatum, -ort, -land, Staatsangehörigkeit, Familienstand, Steuerliche Ansässigkeit und Steuer ID, IBAN, Ausweiskopie, Portraitfoto im Zuge eines Post-Ident-Verfahrens.
Entscheidungsbegründung
Dem Ersuchen des Klägers auf Schmerzensgeld nebst Zinsen, ferner einer Verpflichtung der Beklagten alle materiellen künftigen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter im maßgeblichen Zeitraum entstehen, wurde aus den folgenden Gründen entsprochen:
- Verstoß gegen Art. 32 DS-GVO durch die Beklagte
Die Beklagte habe keine ausreichenden organisatorischen Maßnahmen vorgenommen, um einen Datenverlust zu verhindern. Dass der Datenzugriff in Folge eines unrechtmäßigen Zugriffs bei dem Unternehmen CS erfolgte und nicht bei der Beklagten selbst, sei unerheblich. Die Beklagte habe es unterlassen die CS gewährten Zugangsdaten, nach Beendigung der Geschäftsbeziehung, zu ändern.
- Vorliegen erforderlicher Kausalität
Der vorliegende Schaden sei auf inadäquate Sicherheitsmaßnahmen zurückzuführen. Nach Beendigung der Geschäftsbeziehung hätte die Beklagte sich nicht darauf verlassen dürfen, dass die CS die ihr gewährten Zugangsdaten selbstständig und sicher löscht. Vielmehr sei in Anbetracht des gewährten Zugriffs ein Aktivwerden der Beklagten erforderlich gewesen. Ein Schaden wäre hierdurch vermeidbar gewesen. Das Unterlassen der Beklagten sei damit kausal für den Schaden.
- Vorliegen eines immateriellen Schadens sowie abschreckende Wirkung
Das Gericht verfolgt den (durchaus strittigen) Ansatz, ein immaterieller Schadensersatzanspruch müsse eine abschreckende Wirkung entfalten. Ferner sei mit den entwendeten Daten ein in Erw.G 75 zur DS-GVO genannter Tatbestand des Identitätsverlustes erfasst.
Auswirkungen
Eine Tendenz deutscher Gerichte, immaterielle Schadenersatzansprüche zuzusprechen lässt sich insbesondere in jüngster Zeit erkennen.
So hat das AG Pfaffenhofen (Urteil vom 09.09.2021 – 2 C 133/21) einen Schadenersatzanspruch i.H.v. 300 € wegen Übersendung einer Werbe-Mail ohne Einwilligung bejaht.
Das LAG Hannover (Urteil vom 22.10.2021 – 16 Sa 761/20) sprach dem Kläger 1.250 € wegen nicht ordnungsgemäß und verspätet erteilter Auskunft zu.
Und auch das OLG Dresden (Urteil vom 14.12.2021 – 4 U 1278/21) sprach einem Betroffenen einen immateriellen Schadenersatz i.H.v. 5.000 € wegen unrechtmäßiger Datenverarbeitung (Ausspähung und Weitergabe) zu.
Neu an dem durch das LG München ergangenen Urteil ist, dass ein immaterieller Schadenersatzanspruch wegen einer Datenpanne zugesprochen wurde. Folgen weitere Gerichte dieser Entscheidung, würde damit das Risiko für Unternehmen, bei einer Datenpanne jedem Betroffenen zur Zahlung eines immateriellen Schadenersatzes verpflichtet zu werden, signifikant steigen. Insbesondere in Anbetracht dessen, dass mehrere Tausend Personen als Betroffene Schadenersatzberechtigt sein könnten.
Empfohlen wird insofern, sich regelmäßig mit aktuellen Anforderungen an die zu ergreifenden Schutzmaßnahmen auseinanderzusetzen und diese in dokumentierter Form umzusetzen.
Der im konkreten Fall monierte Umstand, dass nach einem Dienstleisterwechsel die Zugriffsdaten dieses nicht aktiv durch den Verantwortlichen geändert wurden, sollte dringlichst vermieden werden.
Handlungsdringlichkeit: Zeitnahe Überprüfung, ob nach einem Dienstleisterwechsel die entsprechenden Zugangsdaten des Dienstleisters geändert wurden, wird empfohlen.