17.06.2022 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Das Landgericht Köln entschied in seinem aktuellen Urteil (LG Köln, Urteil vom 18.05.2022 - 28 O 328/21), dass ein Unternehmen, das nach Beendigung der Zusammenarbeit mit einem IT-Dienstleister nicht die dem Dienstleister überlassenen Zugangsdaten zu seinen IT-Systemen austauscht, gegen die Pflichten aus Art. 32 und 5 DSGVO verstößt.
Ein Finanzdienstleister, der Wertpapierdienstleistungen erbringt (individuelle Vermögensverwaltung), wurde zum Beklagten durch einen ihrer Kunden. Im Oktober informierte die Beklagte den Kunden pflichtgemäß darüber, dass es zu einem unberechtigten Datenzugriff auf seine Nutzerdaten gekommen sei.
Dabei seien die folgenden Kategorien personenbezogener Daten des Klägers betroffen gewesen: Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontenverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer).
Der Zugriff auf einen Teilbestand von Dokumenten im digitalen Dokumentenarchiv sei zwar nicht durch die Ausnutzung einer unmittelbar von außen ausnutzbaren technischen Sicherheitslücke erfolgt. Der oder die Täter hatten aber Zugangsdaten zum System des Finanzdienstleisters bei einem Dienstleister erbeutet, der dem Finanzdienstleister gegenüber Leistungen erbracht hatte.
Der Kläger machte geltend, ihm sei ein irreversibler Schaden entstanden. Er lebe in ständiger Furcht, dass die Daten missbraucht werden könnten. Andere Betroffene hätten bereits Erpresser-E-Mails erhalten. Er forderte mindestens 5.001 Euro Schadensersatz und kam mit diesem Betrag in die Zuständigkeit des Landgerichts.
Der beklagte Finanzdienstleister wandte ein, ein Teil der Daten des Kunden kursierten bereits aus anderen Vorfällen bei anderen Firmen im Netz. Zudem seien ihre technischen und organisatorischen Maßnahmen zu jeder Zeit und in jeder Hinsicht angemessen. Neben vielen Details verwies er darauf, sein Informationssicherheitsmanagement sei über eine Zertifizierung durch den TÜV Rheinland nach dem allgemein anerkannten ISO 27001:2013-Standard erfolgt. Die Kundendaten seien im sog. „Ruhezustand“ permanent verschlüsselt. Man sei ein „Kollateralopfer“ des Cyber-Angriffs auf den Dienstleister, nicht hingegen eines „Hack“ ihres Systems.
Die Kölner Richter sahen dennoch einen Verstoß gegen gesetzliche Vorgaben. Es sei unstreitig, dass die dem Dienstleister zur Verfügung gestellten Zugangsdaten zum eigenen System nach Beendigung der vertraglichen Beziehung über mehrere Jahre nicht verändert worden seien.
Die Beklagte könne sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens des Dienstleisters dauerhaft und vollständig gelöscht worden seien (so auch in einem Parallelfall LG München I, Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36). Jedenfalls sei eine Überprüfung der Löschung angezeigt gewesen. Eine solche Prüfung habe die Beklagte aber nicht vorgetragen.
Das Gericht sah auch einen ersatzfähigen Schaden begründet, obwohl bislang ein Datenmissbrauch der Daten des Klägers nicht festgestellt werden konnte.
„Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 DSGVO. Die Erwägungsgründe 75 und 85 DSGVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen "physischen, materiellen oder immateriellen Schaden" darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. … Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. …“
Das Gericht sah den Kläger der Gefahr ausgesetzt, dass versucht werden könnte, ihn zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, sowie dass die Gefahr bestand, dass es mit Hilfe der Daten zu Identitätsmissbrauchsversuchen kommen würde.
Die Richter berücksichtigten, dass es dazu noch nicht gekommen war, es zusätzlich ein fahrlässiges Verhalten bei dem Dienstleister gab und dass der Beklagte dem Kunden noch eine Zeit lang zum Monitoring den Dienst „meine Schufa plus“ finanziert hatte. Dennoch müsse der Schadensersatz abschreckende Wirkung haben.
Das Urteil zeigt, dass selbst umfangreiche eigene Sicherheitsmaßnahmen nicht den Blick darauf verstellen dürfen, dass auch Dienstleister Einfallstore für Cyber-Attacken sein können. Das eigene Sicherheitsmanagement muss dies berücksichtigen. Sie sollten nicht nur Auftragsdatenverarbeitungsverträge abschließen und sich auf die „TOM“ (technisch organisatorische Maßnahmen) des Dienstleisters verlassen. Stellen Sie eigene Regelungen für Zugriffe auf Ihre Systeme auf und entwickeln Sie Prozesse, die u. a. sicherstellen, dass Zugangsdaten nach Beendigung von Arbeiten gelöscht oder geändert werden.
Die Entscheidung zeigt auch, wie riskant in finanzieller Hinsicht solche Lecks sein können. Die 1200 Euro klingen nach einem bezahlbaren Schaden, aber hier ging es nur um einen Kunden. Andere Kunden können dem folgen und so summieren sich die Risiken schnell auf. Dabei muss es nicht einmal zu einem tatsächlichen Schaden für den Betroffenen gekommen sein. Die Gerichte lassen zunehmend abstrakte immaterielle Schäden ausreichen.
Bild: Kevin Ku (Pexels, Pexels Lizenz)
X
