Branche/ Lebenslage
Wechsel des externen IT-Dienstleisters
Akteure
- externer IT-Dienstleister
- datenschutzrechtlich Verantwortlicher
Wer haftet?
- datenschutzrechtlich Verantwortlicher
Haftungsart
vermutete Verschuldenshaftung
Haftungsumfang
- materieller Schaden
- immaterieller Schaden
Haftungsbegründendes Verhalten
Verstoß gegen Art. 5 Abs. 1 lit. f) und Art. 32 DSGVO
Technische Umstände
Zugangsdaten IT-Systeme
Persönliche Umstände
Beendigung vertraglicher Beziehungen zu einem externen Dienstleister
Möglichkeiten der Haftungsvermeidung
Austausch der Zugangsdaten, Einführung eines Berechtigungskonzepts oder eine Überprüfung der Löschung der Zugangsdaten beim externen Dritten
Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung
Hier haftet eine Erbringerin von Wertpapierdienstleistungen, weil auf sensible Kundendaten durch einen Hack eines ehemaligen externen IT-Dienstleisters unrechtmäßig zugegriffen wurde. Nach Beendigung der vertraglichen Beziehungen gab es keine Abänderung der Zugangsdaten. Diese wurden auch beim externen Dienstleister nicht gelöscht. Dies stellt einen Verstoß gegen Art. 5 und Art. 32 DSGVO dar. Teil der sensiblen Kundendaten waren aufgrund des Einsatzes von Post-Ident-Verfahrens auch Personalausweisdaten. Auch wenn es zu keinem Missbrauch der Daten zu Lasten eines der Kunden gekommen ist, kam es doch zu einer Gefährdung des Identitätsmissbrauchs. Aufgrund der von der DSGVO erzielten abschreckenden Wirkung, besteht daher ein Anspruch aus Ersatz immateriellen Schadens nach Art. 82 Abs. 1 DSGVO.