IT-Recht aktuell

LG Köln: Unternehmen haftet auf Schadenersatz nach DSGVO, weil nach Dienstleisterwechsel Zugangsdaten für IT-Systeme nicht geändert wurden.

Das Landgericht Köln hat einem von einer Datenpanne Betroffenem mit Urteil vom 18. Mai 2022 (Az. 28 O 328/21) einen Schadensersatzanspruch gemäß Art. 82 DSGVO in Höhe von EUR 1.200,00 zugesprochen, weil das verantwortliche Unternehmen es unterlassen hatte, die Zugangsdaten zu den eigenen IT-Systemen nach einem Dienstleisterwechsel zu ändern und so einen unerlaubten Zugriff auf Kundendaten ermöglichte.

Der Sachverhalt

Bei dem beklagten Unternehmen (Beklagte) handelt es sich um ein Unternehmen aus dem Bereich der Wertpapierdienstleistungen, das u.a. auch individuelle Vermögensverwaltung für Privatkunden anbietet. Der Kläger ist Kunde bei dem beklagten Unternehmen. In diesem Zusammenhang stellte der Kläger der Beklagten personenbezogene Daten (u.a. Name, Anschrift, Geburtsdatum, Mobilfunknummer, Steuerliche Ansässigkeit, Steuer-ID, etc.) zur Verfügung. Die Eröffnung des Kundenkontos setzte insoweit ein Post-Ident-Verfahren voraus.

Am 19. Oktober 2020 erhielt der Kläger eine E-Mail von der Beklagten mit dem Hinweis, es befindet sich eine Nachricht im Online-Kundenbereich. Diese Benachrichtigung informierte den Kläger darüber, dass eine Datenpanne stattgefunden habe. So sei rechtswidrig Zugriff auf einen Teilbestand seiner Dokumente im digitalen Dokumentenarchiv erfolgt, der lediglich „unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechend gesicherte Zugänge verfügbar ist“ möglich gewesen sei. Bei dem Zugriff seien Daten tangiert, die zu einem Identitätsmissbrauch führen könnten.

Der Zugriff war tatsächlich über einen ehemaligen IT-Dienstleister, der Software-as-a-Service Leistungen für die Beklagte erbracht hatte erfolgt. Der unbefugte Zugriff auf die Daten des Klägers war den Hackern mittels Zugangsdaten möglich, die sie infolge der Cyber-Attacke erlangt hatten. Diese Zugangsdaten waren dem gehackten IT-Dienstleister während der laufenden Geschäftsbeziehung mit dem beklagten Unternehmen ausgehändigt und nach Beendigung der Geschäftsbeziehung nicht geändert oder gelöscht worden.

Der Kläger forderte Schadensersatz, da er ständig in der Angst leben müsse, dass seine Daten (u.a. auch Daten aus dem Post-Ident-Verfahren) in Zukunft missbraucht werden könnten. Er vertrat insoweit die Auffassung, er habe einen irreversiblen Schaden erlitten. Er müsse nun täglich damit rechnen, dass Dritte in seinem Namen Verträge schließen oder Zahlungen verlassen würden. Er beantragte, die Beklagte zu verurteilen, an den Kläger einen angemessenen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt werde, mindestens jedoch EUR 5.001,00 zuzüglich Zinsen.

Die Entscheidung

Das Landgericht Köln sprach dem Kläger einen Schadenersatz in Höhe von EUR 1.200,00 zu.

Die Beklagte habe gegen ihre Verpflichtungen aus Art. 32 DSGVO sowie aus Art. 5 DSGVO verstoßen, wonach der Verantwortlich und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik etc. zu treffen, um ein angemessene Schutzrisiko zu gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO hätten die Daten des Klägers in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der Daten gewährleistet.

Das Gericht nahm einen Verstoß an, weil die Beklagte die dem IT-Dienstleister überlassenen Zugangsdaten unstreitig über Jahre hinweg auch nach Beendigung der vertraglichen Beziehung nicht geändert habe. Auch eine Überprüfung der Löschung der Zugangsdaten sei von der Beklagten nicht vorgetragen worden. Dieses Versäumnis sei jedenfalls mitursächlich für den dem Kläger entstandenen Schaden.

Dem Kläger sei auch ein Schaden entstanden. Für die Bemessung der Höhe zog das Gericht die Kriterien des Art. 83 Abs. 2 DSGVO heran. Zugunsten der Beklagten nahm es an, dass das Verhalten der Beklagten nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkte. So müsse dem IT-Dienstleister Fahrlässigkeit, dem Hacker Vorsatz vorgeworfen werden.

Quelle: https://www.justiz.nrw.de/nrwe/lgs/koeln/lg_koeln/j2022/28_O_328_21_Urteil_20220518.html

 

 

 

« Alle Artikel anzeigen