Schadensersatz nach Datenschutzverstoß zugesprochen!!

Schadensersatz nach Datenschutzverstoß / Datenleck gegen Scalable Capital!

Schadensersatz wegen Datenschutzverstoß

Das Landgericht München I hat in einem noch nicht rechtskräftigem Urteil (Az.: 31 O 16606/20) vom 09.12.2021 einem Kläger ein Schadensersatz in Höhe von 2.500 € zugesprochen, aufgrund eines Datendiebstahls und damit einhergehenden Datenschutzverstoß beim Online Broker Scalable Capital. Das Gericht bemängelte u.a. fehlende technische organisatorische Maßnahmen gem. Art. 32 DSGVO.

Sachverhalt

Der Kläger hatte einen Schadensersatz aus ihm entstandenen immateriellen Schäden geltend gemacht, da er von einem Datenleck bei Scalable Capital aus dem Jahr 2020 betroffen war. Bei diesem Datenleck sind im Zeitraum von April bis Oktober 2020 Kundendaten wie E-Mail-Adressen, Ausweiskopien, Fotos und Kontonummern von ca. 33.000 Kunden gestohlen worden und im Darknet aufgetaucht.

Am 19.10.2020 hat Scalable Capital die betroffenen Kunden über das Datenleck informiert. In der Mitteilung wurden die Betroffenen darüber informiert, dass die Kundendatenbank gehackt, umfangreiche Daten gestohlen und im Nachgang ins Darknet gestellt wurden. Nach Mitteilung des Verantwortlichen wurden unter anderem Namen und dazugehörige Ausweis und Steueridentifikationsnummer, Mailadressen, Kontodaten und Ausweiskopien erbeutet.

Schadensersatanspruch geltend gemacht

Ein betroffener Kunde aus Süddeutschland reichte daraufhin im Februar 2021 Klage vor dem Landgericht München ein und machte unter anderem einen immateriellen Schadensersatzanspruch gemäß Art. 82 DSGVO geltend. Unter anderem machte der Kläger geltend, dass ihm Ende September 2020 auffiel, dass an einem Tag insgesamt zehn fehlgeschlagene Login-Versuche bei seinem E-Mail-Anbieter zu verzeichnen waren. Auch teilte er mit, dass er sich spätestens mit der erteilten Information i.S.d. Art. 34 DSGVO durch Scalable Capital dauerhaft dem Risiko ausgesetzt sieht, dass seine personenbezogenen Daten für weitere Betrugsversuche oder gar Identitätsdiebstähle genutzt werden könnten.

Des Weiteren umfasste die Klage neben dem immateriellen Schadensersatz auch eine Feststellung, dass Scalable Capital dem Kläger alle zukünftigen materiellen Schäden, die sich aus dem Datenleck ergeben ausnahmslos ersetzt. Scalable Capital verteidigte sich gegen die Klage insbesondere mit dem Argument, dass im Nachgang alle notwendigen Maßnahmen ergriffen wurden, um einen Missbrauch der Daten zu verhindern.

Entscheidung und Begründung

Das Gericht gab dem Kläger Recht und sprach ihm gemäß Art. 82 DSGVO einen Schadensersatz in Höhe von 2.500 € und zugleich den Ersatz von möglichen zukünftigen Schäden zu. Bei diesen zukünftigen Schäden könnte es sich u.a. um Kosten für einen Ersatz eines Ausweisdokumentes handeln. Das Gericht sah es als erwiesen an, dass der Verantwortliche Scalable Capital ein Datenschutzverstoß gemäß der DSGVO begangen hat, indem es keine ausreichende organisatorische Maßnahmen vorgehalten hat, um entsprechende Datenverluste zu verhindern. Auch der Umstand, dass das Datenleck bei einem ehemaligen Dienstleister aufgrund einer Sicherheitslücke beim Cloud-Zugang entstand, ändert nichts an der Verantwortlichkeit von Scalable Capital. Scalable Capital hat es augenscheinlich versäumt seinen Dienstleister bzw. Auftragsverarbeiter entsprechend zu kontrollieren. Das Gericht sah die Sicherheitslücke im Zugang zur Cloud als vermeidbar an und folglich liege ein Verstoß gegen die DSGVO vor.

Scalable Capital teilte bereits mit, dass man die landgerichtliche Entscheidung aus mehreren Gründen für unzutreffend halte und daher eine weitergehende gerichtliche Überprüfung zuführen wird. Sollte das Urteil Bestand haben wäre es für den Verantwortlichen äußerst brisant und es bestünde zugleich die Gefahr, dass weitere potentielle Anspruchsteller aufgrund des Datenschutzverstoßes klagen und ebenso einen immateriellen Schadensersatz geltend machen. Bei 33.000 potentiellen Anspruchsinhaber und die Entscheidung des Landgerichts München den zugrunde gelegt, bewegt man sich hier in einer Risikosphäre von etwa 80 Millionen €.

Vertreten wurde der Kläger von der Europäischen Gesellschaft für Datenschutz GmbH. Diese unterstützt unter anderem Verbraucher bei der Geltendmachung von Schadensersatzansprüchen aufgrund von Datenschutzverstößen, ohne dass diese erhöhten Kostenrisiken ausgesetzt werden. Zu diesem Fall und dem Urteile hat die EuGD eine Pressemitteilung veröffentlicht.  Aktuell führt die Gesellschaft eine Vielzahl an Gerichtsverfahren mit Bezügen zum Datenschutz gegen bekannte Onlinedienstleister oder Onlinehändler und erhält im Erfolgsfalle eine entsprechende Provision von den jeweiligen Betroffenen.

Nicht zuletzt aufgrund der nicht unerheblichen Gefahr von Schadensersatzansprüchen sollten Sie gemeisam mit Ihrem Datenschutzbeauftragten auch externe Dienstleister und Auftragsverarbeiter genaustens prüfen, sowie auch den vertraglichen Grundlagen für eine Zusammenarbeit große Aufmerksamkeit schenken. Nicht zuletzt bei Dienstleistern die im Ausland sitzen und auch besonders aus dem Startup-Bereich gibt es einges an Nachholpotential.

So erreichen Sie uns

Adresse
Aachener Straße 75
50931 Köln
©LR Datenschutz GmbH