Immaterieller Schadensersatz bei bloßer Gefahr des Identitätsdiebstahls

LG Köln, 2022-05-18 — 28 O 328/21

Branche/ Lebenslage

Wechsel des externen IT-Dienstleisters

Akteure

  • externer IT-Dienstleister
  • datenschutzrechtlich Verantwortlicher

Wer haftet?

  • datenschutzrechtlich Verantwortlicher

Haftungsart

vermutete Verschuldenshaftung

Haftungsumfang

  • materieller Schaden
  • immaterieller Schaden

Haftungsbegründendes Verhalten

Verstoß gegen Art. 5 Abs. 1 lit. f) und Art. 32 DSGVO

Technische Umstände

Zugangsdaten IT-Systeme

Persönliche Umstände

Beendigung vertraglicher Beziehungen zu einem externen Dienstleister

Möglichkeiten der Haftungsvermeidung

Austausch der Zugangsdaten, Einführung eines Berechtigungskonzepts oder eine Überprüfung der Löschung der Zugangsdaten beim externen Dritten

Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung

Hier haftet eine Erbringerin von Wertpapierdienstleistungen, weil auf sensible Kundendaten durch einen Hack eines ehemaligen externen IT-Dienstleisters unrechtmäßig zugegriffen wurde. Nach Beendigung der vertraglichen Beziehungen gab es keine Abänderung der Zugangsdaten. Diese wurden auch beim externen Dienstleister nicht gelöscht. Dies stellt einen Verstoß gegen Art. 5 und Art. 32 DSGVO dar. Teil der sensiblen Kundendaten waren aufgrund des Einsatzes von Post-Ident-Verfahrens auch Personalausweisdaten. Auch wenn es zu keinem Missbrauch der Daten zu Lasten eines der Kunden gekommen ist, kam es doch zu einer Gefährdung des Identitätsmissbrauchs. Aufgrund der von der DSGVO erzielten abschreckenden Wirkung, besteht daher ein Anspruch aus Ersatz immateriellen Schadens nach Art. 82 Abs. 1 DSGVO.