Wer die Zusammenarbeit mit einem IT-Dienstleister beendet und die Zugangsdaten zu den eigenen IT-Systemen nicht ändert, schuldet seinen Kunden Schadensersatz, wenn es daraufhin zu illegalen Zugriffen kommt (LG Köln, Urteil vom 18.05.2022, Az. 28 O 328/21).
Unerlaubter Zugriff auf Kundendaten in Onlinekonto
Ein Finanzdienstleister war von einem Kunden vor dem Landgericht Köln verklagt worden, nachdem ihn der Finanzdienstleister informiert hatte, dass es einen unbefugten Zugriff auf sein Kundenkonto und die dort hinterlegten personenbezogenen Daten gegeben hatte (u.a. die Kontaktdaten des Kunden, aber auch sein Wertpapierdepot betreffende Daten).
Hintergrund: Kein Austausch der Zugangsdaten von Drittfirma
Hintergrund war, dass der Finanzdienstleister früher mit einem Software-as-a-Service (SaaS) Unternehmen zusammengearbeitet hatte, auf dessen IT-Systeme ein Hackerangriff verübt worden war. In den IT-Systemen des SaaS-Unternehmens waren noch die Zugangsdaten zum System des Finanzdienstleisters gespeichert – dieser hatte es seinerseits versäumt, nach Beendigung der Zusammenarbeit mit dem SaaS die diesem überlassenen Zugangsdaten zu seinen IT-Systemen auszutauschen.
So kam es dazu, dass sich die Hacker im Ergebnis über das IT-System des SaaS-Dienstleisters Zugriff auf die Systeme des Finanzdienstleisters einschließlich der Daten des klagenden Kunden verschaffen konnten.
LG Köln: Fehlender Wechsel der Zugangsdaten verletzt DSGVO
Das Landgericht Köln entschied, dass der Finanzdienstleister verpflichtet gewesen sei, die dem SaaS zur Verfügung gestellten Zugangsdaten zu seinen IT-Systemen nach Beendigung der Zusammenarbeit auszutauschen. Da dies unstreitig über mehrere Jahre nicht erfolgt war, habe der Finanzdienstleister seine Pflichten aus Art. 32 DSGVO und Art. 5 DSGVO verletzt.
- Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
- Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Berufung auf Datenlöschung durch Drittfirma erfolglos
Durch die unterbliebene Änderung der Zugangsdaten habe der Finanzdienstleister ein Risiko geschaffen, dass Kundendaten nicht nur bei selbst verantworteten Fehlern Missbrauch ausgesetzt waren, sondern auch durch Zugriffe der Mitarbeiter des SaaS.
Der Finanzdienstleister könne sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, er habe davon ausgehen können, dass die Daten vom SaaS dauerhaft und vollständig gelöscht werden würden (so auch in einem Parallelfall LG München, Urteil vom 09.12.2021, Az. 31 O 16606/20). Jedenfalls wäre eine Überprüfung der Löschung angezeigt gewesen.
Fehlender Wechsel der Zugangsdaten mitursächlich für illegalen Zugriff
Für einen Schadensersatzanspruch aus Art. 82 DSGVO genüge es, wenn das Versäumnis für einen unberechtigten Zugriff auf Nutzerdaten mitursächlich war. Dass das Versäumnis nur mitursächlich war, sei in die nach § 287 ZPO vorzunehmende Schätzung des Schadens aufzunehmen.
Hohes Haftungsrisiko: 1.200 Euro Schadensersatz – pro Kunde
Auf dieser Grundlage sprach das Gericht dem klagenden Kunden Schadensersatz in Höhe von 1.200 Euro zu; bemerkenswerterweise, obwohl abgesehen vom Datenzugriff kein konkreter Missbrauch der Daten des klagenden Kunden belegt worden war.
Gerichtsentscheidungen mit substantiellen Schadensersatzbeträgen wegen DSGVO-Verletzungen nehmen zu. Für Unternehmen wird dies insbesondere dann kritisch, wenn wir hier ein großer Kreis von Anspruchsberechtigten existiert (die eigenen Kunden). Das Haftungsrisiko ist in dieser Lage um ein Vielfaches höher als die ausgeurteilte Einzelsumme.
