Scalable Capital (wiederholt) zu DSGVO-Schadensersatz verurteilt

Immer mehr Betroffene machen gerichtlich Schadensersatzansprüche wegen der Verletzung ihrer Rechte aus der Datenschutz-Grundverordnung (DSGVO) nach Art. 82 DSGVO geltend. Da aufgrund fehlender höchstrichterlicher Rechtsprechung noch viele Rechtsfragen zu Art. 82 DSGVO offen sind, orientieren sich die Gerichte regelmäßig an bereits ergangenen Entscheidungen anderer nationaler Gerichte. So hat sich auch das Landgericht Köln erst kürzlich an einer vorangegangenen Entscheidung des Münchner Landgerichts orientiert, als es über eine DSGVO-Schadensersatzklage gegen den Neobroker Scalable Capital zu entscheiden hatte (https://rewis.io/urteile/urteil/i4b-18-05-2022-28-o-32821/). Die Kölner Richter haben dem Betroffenen einen Schadensersatz in Höhe von 1.200 Euro wegen der Verletzung seiner Rechte aus der DSGVO zugesprochen.

Das Wichtigste in Kürze

Dem Schadensersatzanspruch liegt ein Verstoß gegen die Sorgfaltspflichten aus Art. 32 sowie Art. 5 DSGVO zugrunde.
Scalable Capital hat Jahre nach der Beendigung eines Vertragsverhältnisses mit einem IT-Dienstleister keine Veränderung der Zugangsdaten vorgenommen. Dadurch konnten unbefugte Dritte Daten beim Dienstleister und in der Folge auch bei Scalable Capital abgreifen.
Das Unternehmen hat weder die Zugangsdaten geändert, noch die Löschung der Zugangsdaten beim ehemaligen Vertragspartner überprüft.
Das Gericht hat bei der Bemessung der Schadensersatzhöhe zugunsten des Unternehmens mindernde Umstände berücksichtigt.

Inhalt

Das Wichtigste in Kürze

1. Ansprüche des Bewerbers aus der Datenschutzgrundverordnung

2. Erteilung der Pflichtinformationen und Recht auf Kopie

3. Reichweite des Auskunftsanspruchs

4. Löschung von Bewerberdaten

5. Fazit

1. Hintergrund

Im Ausgangsfall ging es um eine Datenschutzpanne beim Neobroker Scalable Capital, die dazu führte, dass unbekannte Dritte bestimmte Kundeninformationen (unter anderem Name und Adressdaten, Ausweisdaten, Steuerdaten sowie Wertpapierabrechnungen) abgreifen konnten. Nach Angabe der Bamberger Staatsanwaltschaft sollen insgesamt etwa 389.000 Datensätze von ca. 33.200 Person entwendet worden sein. Der Datendiebstahl beruhte auf einer Hinterlegung von Zugangsinformationen bei einem früheren IT-Dienstleister durch den Broker, die nach Beendigung der Geschäftsbeziehung im Jahr 2015 unverändert weiter verwendet wurden. So konnten diese Zugangsdaten durch einen Hackerangriff auf den IT-Dienstleister abgegriffen und anschließend dafür verwendet werden, die bei Scalable Capital hinterlegten personenbezogenen Kundendaten zu stehlen.

2. Klage vor dem LG Köln

Nachdem einige Kunden bereits im letzten Jahr erfolgreich Schadensersatzansprüche vor dem Landgericht München (https://rewis.io/urteile/urteil/bqf-09-12-2021-31-o-1660620/) geltend machen konnten, hat sich ein weiterer Kläger zum gerichtlichen Vorgehen vor dem LG Köln entschlossen und bekam ebenfalls Recht.

3. Verletzung der Sorgfaltspflichten aus Art. 32 und Art. 5 DSGVO

Das LG Köln bejahte – wie bereits auch das Münchner Landgericht in einem vorangegangenen Verfahren – eine Verletzung der Sorgfaltspflichten des Unternehmens aus Art. 32 DSGVO. Im Einzelnen hat das Gericht festgestellt, dass Scalable Capital auch noch Jahre nach der Beendigung eines Vertragsverhältnisses mit einem Subdienstleister keine Veränderung der Zugangsdaten vorgenommen hat und keine Überprüfung einer entsprechenden Löschung der Zugangsdaten durchgeführt hat.

Nach Art. 32 DSGVO ist der Verantwortliche dazu verpflichtet, geeignete technische und organisatorische Maßnahme zu ergreifen, um ein angemessenes Schutzniveau zu gewährleisten. Art. 5 Abs. 1 lit. f) DSGVO schreibt unter anderem vor, dass personenbezogene Daten in einer Weise verarbeitet werden müssen, die ihre angemessene Sicherheit gewährleistet und sie vor einer unrechtmäßigen oder unbefugten Verarbeitung schützt.

Durch die Missachtung dieser Pflichten habe der Finanzdienstleister ein reales Risiko für einen Datenmissbrauch der personenbezogenen Betroffenendaten geschaffen.

Infolgedessen waren die Daten nicht nur einem Missbrauch durch die Mitarbeiter des eigenen Unternehmens, sondern vielmehr auch vorsätzlich oder fahrlässig ermöglichten unbefugten Zugriffen vonseiten des ehemaligen IT-Dienstleisters ausgesetzt.

Da das Unternehmen versäumt hat, erforderliche organisatorische Maßnahmen zu treffen, hat das LG einen Datenschutzverstoß auch unabhängig davon bejaht, ob dem Unternehmen die Sicherheitsmängel des ehemaligen Dienstleisters zugerechnet werden konnten.

Überdies konnte das verantwortliche Unternehmen weder nachweisen, dass eine Löschung oder Änderung der Zugangsdaten überprüft wurde noch, dass eine von beiden Möglichkeiten tatsächlich ergriffen wurde. Angesichts der Sensibilität der verarbeiten Daten, konnte das Unternehmen sich auch nicht darauf berufen, dass es auf eine dauerhafte und vollständige Löschung der Daten durch den ehemaligen Vertragspartner vertraut habe.

4. Höhe des Schadensersatzes

Im Gegensatz zum Münchner Landgericht, das dem Betroffenen einen Schadensersatzanspruch in Höhe von 2.500 Euro zugesprochen hat, haben die Kölner Richter einen Schadensersatzanspruch in Höhe von (nur) 1.200 Euro bejaht.

Das LG Köln habe bei der Bemessung der Schadensersatzhöhe unter anderem berücksichtigt, dass es lediglich bei einer Gefahr des Missbrauchs im Hinblick auf personenbezogenen Daten des Klägers verblieben sei.

5. Fazit

Wie auch viele andere bisher ergangene Urteile macht die Entscheidung des LG Köln deutlich, dass das Thema Datenschutz Priorität eines jeden Unternehmens sein sollte, insbesondere weil immer mehr Betroffene ihre Datenschutzrechte gerichtlich geltend machen. In dem vorliegenden Fall könnte Scalable Capital eine ganze Klagewelle drohen, wenn weitere Betroffene die verbraucherfreundlichen Urteile des LG München und LG Köln zum Anlass nehmen, um eigene DSGVO-relevante Schäden geltend zu machen.

Share0

Tweet0

Share0