Der Sachverhalt
Hintergrund des Verfahrens ist eine Datenpanne bei einem Finanzdienstleister aus dem Bereich der Wertpapierdienstleistungen. Der Kläger unterhielt ein Kundenkonto bei dem beklagten Unternehmen und übermittelte im Rahmen des Post-Ident-Verfahrens unter anderem Name, Anschrift, Geburtsdatum, Mobilfunknummer, steuerliche Ansässigkeit und die Steuer-ID.
Das beklagte Unternehmen unterhielt wiederum Vertragsbeziehungen mit einem Software-as-a-Service (SaaS) Dienstleister, auf dessen IT ein Cyber-Angriff erfolgte. Im System des SaaS-Unternehmen waren die Zugangsdaten zu den IT-Systemen des Finanzdienstleisters gespeichert. Eine Änderung der Zugangsdaten nach Ende der Vertragsbeziehung erfolgte nicht, ebenso wenig eine Überprüfung der Löschung der Daten bei dem SaaS-Unternehmen durch die Beklagte.
Dadurch war es den Angreifern möglich, Zugriff auf einen Teilbestand der Dokumente im Dokumentenarchiv des beklagten Unternehmens zu erhalten. Der Finanzdienstleister informierte seine Kunden am 19. Oktober 2020 über die Cyber-Attacke. Das Unternehmen legte dar, dass auf Daten zugegriffen werden konnte, die zu einem Identitätsmissbrauch führen könnten. Von diesem Cyberangriff waren ca. 33.000 Kunden betroffenen.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das Urteil
Das Gericht sprach dem Kunden Schadensersatz in Höhe von 1.200 Euro zu, obwohl ein tatsächlicher Datenmissbrauch nicht nachgewiesen werden konnte. Der Finanzdienstleister war nach Auffassung des LG Köln verpflichtet, die Zugangsdaten zu seinen Systemen nach Beendigung der Vertragsbeziehungen zu ändern. Insbesondere konnte sich das beklagte Unternehmen aufgrund der hohen Sensibilität der Daten nicht darauf berufen, es sei davon ausgegangen, dass die Daten seitens des SaaS-Unternehmens selbsttätig gelöscht worden waren. Eine Änderung oder Löschung der Zugangsdaten sei über Jahre hinweg nicht erfolgt.
Datenschutzrechtliche Einschätzung
Das beklagte Unternehmen verstieß gegen die Pflichten aus Art. 32 DSGVO und Art. 5 DSGVO:
- Gemäß Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
- Gemäß Art. 5 Abs. 1 lit. f DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Integrität und Vertraulichkeit).
Das beklagte Unternehmen schuf das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortenden Vorfällen, sondern auch durch vorsätzlich oder fahrlässig ermöglichten Zugriffen durch den SaaS-Dienstleister einem Missbrauch ausgesetzt waren. Damit war ein angemessenes Schutzniveau nicht gewährleistet.
Ein Nachweis dafür, dass der Schaden aufgrund des Versäumnisses der unterlassenen Änderung der Zugangsdaten eingetreten ist, war nicht erforderlich. Ausreichend ist, dass das Versäumnis mitursächlich für den unberechtigten Zugriff auf die Kundendaten war und eine Gefährdung eingetreten ist.
Für die Bemessung der Höhe des Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten.
Fazit
Das Urteil verdeutlicht, dass ein Schadensersatzanspruch auch dann bestehen kann, wenn kein Datenmissbrauch stattgefunden hat (ähnlich dazu auch das Recht von Verbraucherschutzorganisationen, DSGVO-Verstöße ohne eingetretene Schadensfälle vor Gericht zu bringen).
Unternehmen sollten unbedingt darauf achten, nach Beendigung der Vertragsbeziehungen mit Dienstleistern Zugangsdaten zu ändern. Zudem sollte eine Überprüfung der Löschung von Zugangsdaten bei ehemaligen Dienstleistern erfolgen, um hohe Haftungsrisiken abzuwenden. Eine entsprechende Regelung in den Verträgen zur Auftragsverarbeitung wird in Art. 28 Abs. 3 lit. g DSGVO zwingend vorausgesetzt. Verantwortliche sollten sich unbedingt eine proaktive Löschung nach Vertragsende durch den Auftragsverarbeiter vertraglich zusichern lassen.
