DSGVO Verstoss – Finanzdienstleister Scalable

DatenschutzrechtDSGVO Verstoss – Finanzdienstleister Scalable
DSGVO Verstoss - Finanzdienstleister Scalable haftet

DSGVO Verstoss – Finanzdienstleister Scalable

Sehr geehrte Damen und Herren,

der Finanzdienstleister Scalable haftet einem Kunden nach einer Entscheidung des LG München auf Schadensersatz. Bei der Firma sind nach einem Datenleck von ca. 33.000 Kunden die vollständigen Daten bis hin zu Ausweiskopien abhanden gekommen.

Die Entscheidung können Sie hier nachlesen:
https://openjur.de/u/2381711.html

Die Entscheidung ist aus mehreren Aspekten heraus interessant.

Der Schadensersatz

Das Gericht hat dem Kläger einen Schadensersatz in Höhe von Euro 2.500,- zugesprochen. Begründet hat es dies mit der Tatsache, dass der Kläger einen Identitätsverlust erlitten habe.
Das Gericht hat hier explizit nicht den Nachweis eines Schadens gefordert sondern ausgeführt:

Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet.

Die Gerichte gehen in bisherigen Entscheidungen immer davon aus, dass ein entstandener Schaden, auch wenn dieser nur immaterieller Natur ist (Schmerzensgeld) vom Betroffenen nachgewiesen werden muss. Dem LG München reicht dagegen aus, dass es einen Datenabfluss gegeben hat.

Nun könnte man, angesichts teilweise in der Presse verbreiteter Meldungen über hohe Bußgelder, die teilweise in die Millionen gehen, meinen, dass die Firma mit einem Schadensersatz von lediglich Euro 2.500,- noch glimpflich davon gekommen ist. Aber: Es sind, wie eingangs erwähnt angeblich ca. 33.000 Kunden des Finanzdienstleister betroffen gewesen. Multipliziert man nun den Schadensersatzbetrag mit der Anzahl der Betroffenen, so wird schnell deutlich, dass dies zu einem Gesamtschaden von bis zu Euro 80 Mio. führen kann.

Geklagt hat eine Privatperson, allerdings vertreten durch den Prozessfinanzierer EuGD. Diese Firma ist auf Sammelklagen bei Datenschutzverstößen spezialisiert und wirbt auf ihrer Webseite mit risikoloser Vertretung der Betroffenen. Man kann sich also ausmalen, dass die hier besprochene Entscheidung nicht die Einzige bleiben wird.

Der Datenschutzverstoß

Der Beklagten wurde ein Verstoß gegen Art. 32 DSGVO vorgeworfen. Die Vorschrift regelt die technischen und organisatorischen Massnahmen, die getroffenen werden müssen, um ein dem Risiko angemessenes Schutzniveau zu erzielen. Mindestens organisatorisch habe die Beklagte dagegen verstoßen. Sie hat nämlich einem Auftragsverarbeiter als Dienstleister beauftragt und diesem die Zugangsdaten mitgeteilt. Nach Beendigung des Auftrags wurden die Zugangsdaten sodann nicht geändert und ein Hacker konnte über diesen Dienstleister in das System der Beklagten eindringen. Die Ausrede der Beklagten, dass der Dienstleister seine Daten nicht ausreichend gesichert hätte, liess das Gericht nicht gelten, da es mindestens eine Mitverantwortung bei der Beklagten gesehen hat.

Die Handlungsanweisung

Dieser Fall zeigt ein weiteres Mal, wie wichtig der Datensicherheitsaspekt auch im Umgang mit Auftragsverarbeitern und sonstigen Dienstleistern ist. Ein Zugang zu Datenbanken sollte nur gewährt werden, wenn dies zwingend zur Durchführung für den Auftrag nötig ist. Die Zugangsdaten sollten nur temporär vergeben werden und die Kontrolle über den Zugang sollte vom Auftraggeber behalten werden. Im Rahmen der Auftragsverarbeitung sollte man den Auftragnehmer kontrollieren und ihn sich nach Sicherheitsaspekten aussuchen. Nur dann können Sie sicher sein, dass Sie sich nicht ein Einfallstor für Hacker schaffen, die dann anhand der Zugangsdaten nicht einmal die Firewall überwinden müssen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.