{"id":3867,"date":"2022-08-19T09:44:56","date_gmt":"2022-08-19T08:44:56","guid":{"rendered":"https:\/\/amlegal.rethinkdigital.io\/?p=3867"},"modified":"2023-10-09T14:07:49","modified_gmt":"2023-10-09T12:07:49","slug":"urteil-schadensersatz-zugangsdaten","status":"publish","type":"post","link":"https:\/\/www.activemind.legal\/de\/guides\/urteil-schadensersatz-zugangsdaten\/","title":{"rendered":"Schadensersatz nach unterlassenem Wechsel von Zugangsdaten"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\tEin Verantwortlicher wechselt den Dienstleister, \u00e4ndert aber die Zugangsdaten zu den eigenen IT-Systemen nicht. Entsteht ein Schadenersatzanspruch nach Art. 82 DSGVO<\/a>, wenn es dadurch zu einem unbefugten Zugriff auf Kundendaten kommt? Dar\u00fcber hatte das Landgericht K\u00f6ln zu entscheiden (Urteil vom 18. Mai 2022, Az.: 28 O 328\/21<\/a>).\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Der Sachverhalt<\/h2>

Hintergrund des Verfahrens ist eine Datenpanne bei einem Finanzdienstleister aus dem Bereich der Wertpapierdienstleistungen. Der Kl\u00e4ger unterhielt ein Kundenkonto bei dem beklagten Unternehmen und \u00fcbermittelte im Rahmen des Post-Ident-Verfahrens unter anderem Name, Anschrift, Geburtsdatum, Mobilfunknummer, steuerliche Ans\u00e4ssigkeit und die Steuer-ID.<\/p>

Das beklagte Unternehmen unterhielt wiederum Vertragsbeziehungen mit einem Software-as-a-Service (SaaS) Dienstleister, auf dessen IT ein Cyber-Angriff erfolgte. Im System des SaaS-Unternehmen waren die Zugangsdaten zu den IT-Systemen des Finanzdienstleisters gespeichert. Eine \u00c4nderung der Zugangsdaten nach Ende der Vertragsbeziehung erfolgte nicht, ebenso wenig eine \u00dcberpr\u00fcfung der L\u00f6schung der Daten bei dem SaaS-Unternehmen durch die Beklagte.<\/p>

Dadurch war es den Angreifern m\u00f6glich, Zugriff auf einen Teilbestand der Dokumente im Dokumentenarchiv des beklagten Unternehmens zu erhalten. Der Finanzdienstleister informierte seine Kunden am 19. Oktober 2020 \u00fcber die Cyber-Attacke. Das Unternehmen legte dar, dass auf Daten zugegriffen werden konnte, die zu einem Identit\u00e4tsmissbrauch f\u00fchren k\u00f6nnten. Von diesem Cyberangriff waren ca. 33.000 Kunden betroffenen.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Aktuelle Urteile zur DSGVO<\/strong><\/p>

In unseren regelm\u00e4\u00dfigen Besprechungen von Urteilen zum Datenschutzrecht<\/strong><\/a> erkl\u00e4ren wir Ihnen die Konsequenzen f\u00fcr den Unternehmensalltag.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Das Urteil<\/h2>

Das Gericht sprach dem Kunden Schadensersatz in H\u00f6he von 1.200 Euro zu, obwohl ein tats\u00e4chlicher Datenmissbrauch nicht nachgewiesen werden konnte. Der Finanzdienstleister war nach Auffassung des LG K\u00f6ln verpflichtet, die Zugangsdaten zu seinen Systemen nach Beendigung der Vertragsbeziehungen zu \u00e4ndern. Insbesondere konnte sich das beklagte Unternehmen aufgrund der hohen Sensibilit\u00e4t der Daten nicht darauf berufen, es sei davon ausgegangen, dass die Daten seitens des SaaS-Unternehmens selbstt\u00e4tig gel\u00f6scht worden waren. Eine \u00c4nderung oder L\u00f6schung der Zugangsdaten sei \u00fcber Jahre hinweg nicht erfolgt.<\/p>

Datenschutzrechtliche Einsch\u00e4tzung<\/p>

Das beklagte Unternehmen verstie\u00df gegen die Pflichten aus Art. 32 DSGVO und Art. 5 DSGVO:<\/p>