Mehr Infos
Menü Zum Kontakt Telefon: +49 6151 - 99 55 0

LG Köln: Schadensersatz nach Art. 82 DSGVO bei verspätetem Austausch von Zugangsdaten

 
 
 

 

 

 

Das LG Köln hat in seinem Urteil vom 18. Mai 2022 (Az. 28 O 328/21) entschieden, dass ein Unternehmen gegen Art. 32 und Art. 5 DSGVO verstößt, wenn es nach Beendigung der Zusammenarbeit mit einem IT-Dienstleister nicht die diesem überlassenen Zugangsdaten zu seinen IT-Systemen austauscht. Das Unternehmen wird dadurch schadensersatzpflichtig nach Art. 82 DSGVO, wobei dafür auch Mitursächlichkeit ausreichend ist.

 

Das Wichtigste in Kürze

  • Für einen Schadensersatzanspruch aus Art. 82 DSGVO genügt es, wenn dieses Versäumnis für einen unberechtigten Zugriff auf Nutzerdaten mitursächlich war.
  • Der Verantwortliche darf sich insbesondere beim Zugang zu sensiblen Daten nicht darauf verlassen, dass der ehemalige Dienstleister die Zugangsdaten von sich aus löschen wird.
  • Ein Verstoß gegen Art. 32 und Art. 5 DSGVO liegt vor, wenn ein Unternehmen nach der Beendigung der Zusammenarbeit mit einem IT-Dienstleister nicht die diesem überlassenen Zugangsdaten zu seinen IT-Systemen austauscht.

 

Sachverhalt

Der Kläger begehrte von der Beklagten, ein Unternehmen für Wertpapierdienstleistungen, Schadensersatz in Höhe von EUR 5.001,00, zzgl. Zinsen in Höhe von fünf Prozentpunkten über dem jeweils geltenden Basiszinssatz seit Rechtshängigkeit wegen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO). Der Kläger war Kunde bei der Beklagten und wurde darüber informiert, dass der Schutz seiner personenbezogenen Daten durch einen unrechtmäßigen Zugriff verletzt worden ist. Dies geschah durch einen Hacker-Angriff mittels Zugangsdaten, die infolge dessen von einem IT-Dienstleister, mit welchem die Beklagte bis 2015 in einer Vertragsbeziehung stand, erlangt worden sind. Es fand weder eine Änderung der Zugangsdaten nach Beendigung der Vertragsbeziehung noch die Überprüfung einer Löschung seitens der Beklagten statt.

Die Beklagte wurde verurteilt, dem Kläger 1.200 Euro zzgl. Zinsen in Höhe von fünf Prozentpunkten über dem jeweils geltenden Basiszinssatz seit Rechtshängigkeit zu zahlen.

 

Verstoß gegen die DSGVO wegen Versäumnis der Änderung von Zugangsdaten

Mit Art. 32 DSGVO wurde eines der grundlegenden Prinzipien des Datenschutzrechts normiert, die Datensicherheit. Danach haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Nach Erwägungsgrund 83 S. 1 ist es Zweck der Umsetzung solcher Maßnahmen, die Sicherheit personenbezogener Daten aufrechtzuhalten und gegen eine gegen die DSGVO verstoßende Verarbeitung vorzubeugen. Jedoch ist das Ziel von Art. 32 DSGVO nicht allein der Schutz von Daten an sich, sondern die Sicherheit der Verarbeitung. Art. 32 DSGVO gibt den Verpflichteten die regulatorischen Leitplanken für die Umsetzung entsprechender Maßnahmen vor. Auf eine strikte Vorgabe von Maßnahmen wird mit Blick auf die gewünschte Technikneutralität und Entwicklungsoffenheit der DSGVO verzichtet.

Das LG Köln nahm auch hier einen Verstoß an, da die Beklagte die Zugangsdaten, die sie dem IT-Dienstleister zur Verfügung stellte, nach Ende der Vertragsbeziehung nicht änderte. Damit hat sie gegen die Verpflichtungen aus Art. 32 DSGVO verstoßen. Bei der Beurteilung des angemessenen Schutzniveaus sind die Risiken zu berücksichtigen, die mit der jeweiligen Verarbeitung verbunden sind. Umstände, aus denen sich ein solches Risiko ergeben kann, sind in Art. 32 Abs. 2 DSGVO konkretisiert. Dieser nennt Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten. Diese Formen der Beeinträchtigung der personenbezogenen Daten können unbeabsichtigt oder unrechtmäßig eintreten. Sowohl die Offenlegung als auch der Zugang zu den personenbezogenen Daten muss unbefugt erfolgen. Maßgeblich ist die Berechtigung des Verantwortlichen, die personenbezogenen Daten an einen Dritten zu übermitteln.

Fraglich ist jedoch, ob es nur auf die fehlende datenschutzrechtliche Befugnis ankommt oder darüber hinaus die Einhaltung weiterer Vertraulichkeitspflichten in Bezug auf die personenbezogenen Daten zu berücksichtigen ist. Im Hinblick auf die Zielsetzung der DSGVO ist wohl allein auf die datenschutzrechtliche Befugnis abzustellen. Ein Verstoß gegen Art. 32 DSGVO löst, wie auch das LG Köln entschieden hat, einen Schadensersatzanspruch nach Art. 82 DSGVO aus, sofern bei dem Betroffenen ein materieller oder immaterieller Schaden entstanden ist. Maßgeblich für die Pflichtverletzung ist die mangelnde Gewährleistung der Sicherheit der Datenverarbeitung. Diese wird immer anzunehmen sein, wenn gar keine technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt werden. Sie kann aber auch anzunehmen sein, wenn die getroffenen Maßnahmen als nicht ausreichend eingestuft werden.

Art. 5 Abs. 1 lit. f) DSGVO beschreibt den Grundsatz der Integrität und Vertraulichkeit. Dabei beschreibt Integrität den Schutz der Unversehrtheit der Daten. Vertraulichkeit zielt auf den Schutz der Daten vor unbefugter Kenntnisnahme und somit vor unbefugter Verarbeitung ab. Nach Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dazu gehört beispielsweise, dass unbefugte Personen weder Zugang zu den Daten, noch zu den Geräten haben, mit denen sie verarbeitet werden.

Weiterhin ist auch der Schutz vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen zu gewähren. Welche Maßnahmen zum Schutz ergriffen werden müssen, hängt besonders vom Risiko eines unberechtigten Zugriffs, der Art der Verarbeitung sowie der Bedeutung der Daten für die Rechte und Interessen der betroffenen Personen ab. Dementsprechend nahm das LG Köln einen Verstoß gegen diese Vorgaben an, da die Zugangsdaten, die dem IT-Dienstleister zur Verfügung gestellt wurden, nach der Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden.

Damit wurde das Risiko geschaffen, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten vorsätzlich oder fahrlässig einem Missbrauch ausgesetzt waren, sondern auch durch Schwachstellen des IT-Dienstleisters eine dahingehende Gefährdung bestand. Das beklagte Unternehmen kann sich daher auch nicht darauf berufen, dass es davon ausgehen konnte, dass die Daten durch den IT-Dienstleister gelöscht wurden. Eine Überprüfung dessen wäre jedenfalls notwendig gewesen, welche jedoch nicht stattgefunden hat.

 

Schadensersatz nach Art. 82 DSGVO auch für immaterielle Schäden

Gemäß Art. 82 Abs. 1 DSGVO können auch immaterielle Schäden geltend gemacht werden. Denn nach Art. 82 Abs. 1 DSGVO hat jede Person bei einem Verstoß gegen die DSGVO, durch die sie einen materiellen oder immateriellen Schaden erleidet, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter, vorausgesetzt es liegt ein Verstoß gegen die DSGVO vor, es ist ein materieller oder immaterieller Schaden entstanden und der Verantwortliche oder der Auftragsverarbeiter hat dies zu verschulden.

Die Erwägungsgründe 75 und 85 der DSGVO nennen einiger solcher „physischen, materiellen oder immateriellen Schäden“. Weiterhin muss nach Erwägungsgrund 146 DSGVO der Begriff des Schadens „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“, wobei die „betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten sollen“. Maßgeblich soll insbesondere durch die Höhe des Schadensersatzes eine abschreckende Wirkung erzielt werden.

Zur Bemessung der Höhe können Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, wie die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung. Dem Gericht obliegt dabei die genaue Ermittlung nach § 287 ZPO. Bei der nach § 287 ZPO vorzunehmenden Schätzung des Schadens ist die Mitursächlichkeit des Versäumnisses durch die Beklagte mit einzubeziehen.

 

Ausblick

Zunehmend ist erkennbar, dass sich Gerichtsentscheidungen hinsichtlich Verstößen von Unternehmen gegen die DSGVO häufen. Immer mehr Betroffene machen Schadensersatzansprüche gegen Unternehmen geltend. Für Unternehmen birgt das die Gefahr sich hoher Schadensersatzbeträgen auszusetzen. Insbesondere, wie auch in diesem Urteil des LG Köln, wenn ein großer Kreis an Anspruchsberechtigte existiert. Bei der Beklagten seien mitunter 33.200 Kunden betroffen gewesen. Dementsprechend wird es für Unternehmen von unerlässlicher Bedeutung, Verstöße gegen die DSGVO vorzubeugen. Denn das Haftungsrisiko nimmt in einer solchen Lage immer mehr zu. Das LG Köln hat in seinem Urteil klargestellt, dass ein Verstoß gegen Art. 32 und Art. 5 DSGVO vorliegt, wenn ein Unternehmen nach der Beendigung der Zusammenarbeit mit einem IT-Dienstleister nicht die diesem überlassenen Zugangsdaten zu seinen IT-Systemen austauscht oder verändert. Das Unternehmen kann sich auch nicht darauf berufen, dass es davon ausgegangen sei, dass der IT-Dienstleister diese Zugangsdaten löschen wird. Ebenso ist von großer Bedeutung in diesem Urteil, dass es für einen Schadensersatzanspruch nach Art. 82 DSGVO ausreicht, wenn Mitursächlichkeit vorliegt.

 

Call Now ButtonKontakt aufnehmen