Haftung bei Datenschutzverstößen – Scalable Capital muss Schadensersatz leisten

Die seit dem 25. Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) beinhaltet mehrere Pflichten, die bei der Verarbeitung von personenbezogenen Daten einzuhalten sind. Zu diesen Pflichten zählen etwa Informations-, Mitteilungs- und Sicherheitspflichten. Bei einem Verstoß gegen eine dieser Pflichten steht betroffenen Personen nach Art. 82 Abs. 1 DSGVO ein entsprechender Schadenersatzanspruch zu.

Im Oktober 2020 meldete das Unternehmen Scalable Capital aus München einen Datenschutzvorfall. Unbekannte hatten unbefugt auf Dokumente im digitalen Archiv des Unternehmens zugegriffen und sich dadurch Zugang zu den Daten von etwa 33.200 Kunden verschafft. Es wurde nach Angaben von Scalable Capital u.a. auf Personalien und Kontaktdaten, Ausweisdaten, Kontodaten und steuerliche Daten zugegriffen.

Ein betroffener Kunde hat vor dem Landgericht München nun Schadensersatz in Höhe von 2.500 € erstritten.

Kernaussagen des Urteils

Das Landgericht München bejahte einen Datenschutzverstoß von Scalable Capital einerseits aufgrund eines Verstoßes gegen Art. 32 DSGVO. Nach dieser Vorschrift müssen Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Schutzniveau zu gewährleisten.

Zusätzlich wurde insbesondere der Erwägungsgrund 39 der DSGVO herangezogen, demzufolge Maßnahmen ergriffen werden müssen, die gewährleisten, dass „Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können“.

Da Scalable Capital nach Ansicht des Landgerichts die erforderlichen Maßnahmen nicht ergriffen habe, liege ein Datenschutzverstoß vor. Dies sei unabhängig davon, ob Scalable Capital etwaige Sicherheitsmängel bei einem Drittunternehmen zugerechnet werden können, da Scalable Capital auch selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen habe, um den Datenverlust zu verhindern.

Wegen des Umfangs und der Art der entwendeten Daten, nahm das Gericht einen Identitätsdiebstahl an, der einen Anspruch auf Schadensersatz begründet. Daher verurteilte das Gericht Scalable Capital zur Leistung von Schadensersatz an den Kläger. Es stellte einen Anspruch auf Ersatz des immateriellen Schadens in Höhe von 2.500 € fest, darüber hinaus muss Scalable Capital dem Kläger jeden materiellen Schaden ersetzen, der diesem zukünftig aufgrund des Datendiebstahls erst noch entsteht.

Bedeutung der Haftung für Unternehmen und Konsumenten

Mit dem Urteil wurde ein klares Zeichen gesetzt. Auf der einen Seite haben Konsumenten nun Gewissheit, dass sie ihre Rechte aus der DSGVO auch durchsetzen können. Auf der anderen Seite dürfte das Urteil für viele Unternehmen, die ihren Pflichten aus der DSGVO bislang keine große Beachtung geschenkt haben, ein Warnschuss sein.

Die Höhe des hier festgestellten immateriellen Schadens von 2.500 € kann sich bei einer größeren Anzahl von Klagen schnell auf einen äußerst hohen Betrag belaufen. Der Datenschutzvorfall bei Scalable Capital betraf etwa 33.200 Kunden. Wenn auch nur 1.000 Kunden (also etwa 3 % der in diesem Fall Betroffenen) einen solchen Schadensersatzanspruch erstreiten würden, beliefe sich der gesamte zu ersetzende immaterielle Schaden auf 2,5 Mio. € – und darin sind die zukünftig noch zu entstehenden materiellen Schäden nicht einmal enthalten. Der von dem Landgericht München fest-gestellte immaterielle Schaden in Höhe von 2.500 € sollte also keinesfalls unterschätzt werden.

Fazit

Verantwortliche nach der DSGVO sind mit diesem Urteil vorgewarnt. Sie sollten die Befolgung der Vorschriften aus der DSGVO zu einer hohen Priorität machen, um nicht selbst in Zukunft aufgrund eines etwaigen Datenschutzverstoßes einer Klagewelle ausgesetzt zu sein und Schadensersatz in Millionenhöhe leisten zu müssen.

Wenn Sie Fragen zur DSGVO, den sich aus ihr ergebenden Pflichten oder sonstigen datenschutzrechtlichen Themen haben oder Unterstützung bei der Umsetzung der DSGVO-Pflichten benötigen, helfen wir Ihnen gerne.