Das LG München I hat in einem Urteil dem Kunden eines Finanzdienstleisters ein Schmerzensgeld in Höhe von 2.500 Euro zugesprochen (LG München I: 31 O 16606/20 vom 09.12.2021). Grund dafür war, dass der Dienstleister CS des Finanzdienstleisters einem Cyberangriff zum Opfer gefallen war und die Angreifer dabei Daten des Kunden des Finanzdienstleisters erbeutet hatten. Der Finanzdienstleister hatte zwar die Geschäftsbeziehung mit CS beendet, es aber versäumt, die Zugangsdaten zu ändern bzw. die Löschung zu veranlassen.
Online-Broking mit Risiken
Der Kläger hatte dem Finanzdienstleister eine Vielzahl von personenbezogenen Daten zur Verfügung gestellt. Dazu gehörten z. B. Kontaktdaten, Steuer-ID, IBAN oder Ausweiskopie. Mit diesen Daten führte der Kläger einen Account bei dem Finanzdienstleister und wickelte darüber Geldanlagen ab. Im Oktober 2020 informierte der Finanzdienstleister den Kläger, dass Hacker auf Teile seines Datenarchivs Zugriffs hatten und u. a. Kontaktdaten wie E-Mail-Adresse, Steuer-ID und Ausweiskopie entwendet hatten.
Nachlässigkeit gegenüber dem Dienstleister mit Folgen
Der Finanzdienstleister hatte dem Dienstleister CS als Auftragsverarbeiter die Zugangsinformationen für seine gesamte IT-Infrastruktur zur Verfügung gestellt. Nach Beendigung der Zusammenarbeit im Jahre 2015 versäumte es der Finanzdienstleister aber, die Zugangsinformationen zu ändern, sodass weiterhin ein Zugriff des Dienstleisters möglich war. Die Hacker waren über den Dienstleister CS an die Zugangsinformationen des Finanzdienstleisters gekommen und nutzten diese, um Zugriff auf die IT-Infrastruktur des Finanzdienstleisters und das Datenarchiv des Klägeraccounts zu erhalten. Mit den erbeuteten Daten versuchten die Hacker dann Kredite zu erlangen. Außerdem wurden die Daten im Darknet zum Kauf angeboten.
Der Kläger sah sich dauerhaft dem Risiko ausgesetzt, dass die über ihn erbeuteten Daten für Identitätsdiebstähle oder Zugriffsversuche auf von ihm genutzte Online-Dienste missbraucht werden. So sei es bspw. zu zehn fehlgeschlagenen Login-Versuchen bei seinem E-Mail-Anbieter gekommen.
Damit lag aus der Sicht des Klägers in dem Vorgang ein Datenschutzverstoß aus Art. 32 DSGVO vor, der zu einem Schmerzensgeldanspruch aus Art. 82 DSGVO führt.
Zertifizierung schützt nicht vor Versäumnissen
Der Finanzdienstleister sah dies naturgemäß anders. Er verwies darauf, dass das Dokumentenarchiv und die IT-Infrastruktur u. a. ISO 27001 zertifiziert seien. Außerdem sei kein Programm von ihm kompromittiert worden, sondern der Zugriff durch Ausnutzung rechtswidrig erlangter Zugangsinformationen von dem Dienstleister CS erfolgt. Daher sah sich der Finanzdienstleister hier ebenfalls als Opfer. Außerdem wies der Finanzdienstleister darauf hin, dass er CS als Auftragsverarbeiter sorgfältig ausgewählt habe und die Bereitstellung der Zugangsinformationen notwendig war, damit CS seine Dienstleistungen erbringen konnte. Warum er nach Ende der Geschäftsbeziehung die Zugangsinformationen nicht änderte, darüber schwieg der Finanzdienstleister. Vielmehr ging der Finanzdienstleister ohne Nachprüfung davon aus, dass CS die Zugangsinformationen gelöscht hatte.
In diesem Versäumnis sieht das LG München I einen Datenschutzverstoß nach Art. 32 DSGVO. Das Gericht warf dem Finanzdienstleister vor, die Löschung nicht überprüft bzw. die Zugangsinformationen seit 2015 unverändert gelassen zu haben. Dies hätte, so das LG München I, direkt nach Ende der Geschäftsbeziehung geschehen müssen. Darauf, dass der Dienstleister CS selbst wegen möglicherweise unzureichender Sicherheitsmaßnahmen Opfer eines Hackerangriffs wurde, der den unbefugten Zugang zum Finanzdienstleister erst ermöglichte, kommt es für das LG München I nicht an, da der Finanzdienstleister wiederum durch die fehlende Überprüfung bzw. Änderung einen Datenschutzverstoß begangen habe.
Nachlässigkeit als Ursache für den Schaden
Auch liegt für das Landgericht ein kausaler Zusammenhang zwischen Datenschutzverstoß und Schaden vor. Das Gericht weist zunächst darauf hin, dass es nicht genüge, dass ein Schaden bloß auf eine Datenverarbeitung zurückzuführen sei, sondern die rechtswidrige Datenverarbeitung müsse ursächlich für den Schaden sein. Das LG München I geht davon aus, dass es bei Einhaltung adäquater Sicherheitsmaßstäbe nicht zu dem Datenvorfall gekommen wäre. Ebenso verweist es darauf, dass die DSGVO einen Schmerzensgeldanspruch bei Vorkommnissen wie Diskriminierung, Identitätsdiebstahl oder -betrug annimmt. Außerdem geht das LG München I davon aus, dass ein Identitätsdiebstahl für einen Schmerzensgeldanspruch ausreicht. Gerade so einen Diebstahl nimmt das LG München I aufgrund der entwendeten Daten an. Die Höhe des Schmerzensgeldanspruch knüpft das LG München I an die Gefährdung durch den Datenschutzverstoß und die Vorgabe der DSGVO einer abschreckenden Wirkung eines Schmerzensgeldes. Mit Verweis darauf, dass ein Missbrauch zu Lasten des Klägers noch nicht stattgefunden habe, kommt das Gericht zu einem Schmerzensgeldanspruch in Höhe von 2.500 Euro.
Fazit
Bei der Beendigung einer Geschäftsbeziehung mit einem Dienstleister sollte jedes Unternehmen prüfen, ob der Dienstleister noch Zugriff auf Daten hat, für die das Unternehmen verantwortlich ist. Dies betrifft vor allem die Auftragsverarbeitung im datenschutzrechtlichen Sinne. Bei dem Ende einer Geschäftsbeziehung regelt Art. 28 Abs. 3 lit. g DSGVO, dass der Auftragsverarbeiter die Daten des Auftraggebers entweder herausgeben oder löschen muss. Der Auftraggeber sollte in solchen Fällen dringend von dieser Option Gebrauch machen, um ähnliche Probleme wie in diesem Fall zu vermeiden.
20. Januar 2022 @ 11:44
Mich würde interssieren, ob die das Bayerische Landesamt für Datenschutzaufsicht diesen „Nachlässigkeit“ des Finanzdienstleisters ebenfalls verfolgt. Aus meiner Sicht liegt hier ein Verstoß gegen Art. 24 und Art. 25 Abs. 2 vor.