Veröffentlicht von:
DSGVO-Schadensersatz nach Datenleck bei Scalable
- 2 Minuten Lesezeit
DSGVO SE Scalable: Schadensersatz nach Datendiebstahl wegen Fahrlässigkeit des Betreibers Wenn ein Datendiebstahl durch die Fahrlässigkeit des Betreibers geschieht oder ermöglicht wird, entsteht für die geschädigte Partei hierdurch ein Schadensersatzanspruch aus Artikel 82 Absatz 1 DSGVO. So urteilte das Landgericht München (Az.: 31 O 16606/20, Urteil vom 09.12.2021 am LG München I).
Datenleck bei Scalable
Kläger ist der Kunde einer Finanzdienstleistungsfirma, Beklagte diese Firma. Bei dieser trat ein Datendiebstahl auf, bei dem Daten des Klägers entwendet wurden. Die Beklagte trug dafür die Verantwortung, weil sie Zugangsdaten nach einem Betreiberwechsel nicht geändert hatte. Für das Eingehen einer Geschäftsbeziehung mit der Beklagten musste der Kläger dieser zahlreiche personenbezogene Daten überlassen. Auch ein Foto seines Personalausweises gehörte dazu, dieses diente dem Online-Identverfahren. Im Oktober 2020 informierte die Beklagte den Kläger über einen Datendiebstahl. Speziell vom Kläger waren die vollständige Adresse und E-Mail-Adresse, das Geburtsdatum und der Geburtsort, die Handynummer, der Familienstand, die Steuer-ID, die IBAN seiner Bankverbindung und die Ausweiskopie inklusive Portraitfoto gestohlen worden. Der Datendiebstahl war auch Gegenstand staatsanwaltlicher Ermittlungen. In deren Verlauf wurde festgestellt, dass die Hacker im Jahr 2020 dreimal in die Datenbank der Beklagten eindringen konnten, nämlich im April, im August und im Oktober. Sie entwendeten dabei insgesamt 389.000 Datensätze von 33.200 Kunden. Das Leck in der Datenbank war offensichtlich entstanden, nachdem die Beklagte ihren IT-Dienstleister gewechselt hatte. Dieser hatte per Main-Passwort Zugriff auf alle Kundendaten der Beklagten. Die Beklagte hatte es versäumt, nach dem Betreiberwechsel dieses Passwort zu ändern bzw. unbrauchbar zu machen. Der frühere Dienstleister wurde dann Opfer eines Hackerangriffs, wobei die Hacker auch Zugriff auf die Daten früherer Kunden des Dienstleisters bekamen, sofern diese nicht den Zugang durch ein neues Passwort gesperrt hatten. Zu diesen fahrlässigen Kunden gehörte die Beklagte. Die Hacker versuchten im weiteren Verlauf ihrer Straftat, mit den gestohlenen Kundendaten bei verschiedenen Banken Onlinekredite zu erlangen. Auch boten sie die gestohlenen Datensätze im Darknet an. Der Kläger ist der Auffassung, dass er ab sofort dauerhaft dem Risiko eines Identitätsdiebstahls ausgesetzt ist. Dass die Daten in der Tat missbräuchlich verwendet werden, geht daraus hervor, dass es kurz nach dem Datendiebstahl bei seinem E-Mail-Provider zu Zugriffsversuchen auf sein E-Mail-Konto kam, die allerdings fehlschlugen, weil er inzwischen seine Passwörter zu solchen Accounts geändert hatte.
Landgericht München verurteilt Scalable zu Schadensersatz
Das LG München I gab der Klage statt und verurteilte die Beklagte
- zu einem Schmerzensgeld an den Kläger (immaterieller Schadensersatz) von 2.500 Euro sowie
- zum Ersatz aller gegenwärtigen und künftigen materiellen Schäden, die dem Kläger entstehen.
Die Klage ist zulässig und begründet. Das Schmerzensgeld ergibt sich aus Artikel 82 Absatz 1 DSGVO. Die Höhe eines eventuelle Schadensersatzes bei tatsächlichem kriminellen Datengebrauch durch die Hacker ergibt sich aus Artikel 83 Absatz 2 DSGVO.
Artikel teilen: