Branche/ Lebenslage
Wechsel eines externen IT-Dienstleisters
Akteure
- externer IT-Dienstleister
- datenschutzrechtlich Verantwortlicher
Wer haftet?
- datenschutzrechtlich Verantwortlicher
Haftungsart
vermutete Verschuldenshaftung
Haftungsumfang
- materieller Schaden &
- immaterieller Schaden
Haftungsbegründendes Verhalten
Verstoß gegen Pflichten der DSGVO
Technische Umstände
–
Persönliche Umstände
–
Möglichkeiten der Haftungsvermeidung
Austausch der Zugangsdaten eines IT-Systems beim Wechsel eines externen IT-Dienstleisters
Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung
Im IT-System eines Finanzdienstleister sind zahlreiche besonders sensible persönliche Daten (wie Steuer-ID, IBAN, Ausweiskopie sowie ein Portraitfoto) gespeichert.
Zahlreiche Datensätze konnten unrechtmäßig kopiert werden, weil die Zugangsdaten noch bei einem ehemaligen IT-Dienstleister hinterlegt waren, der Ziel einer Cyberattacke war.
Der haftungsbegründende Verstoß gegen die DSGVO liegt in Art. 32 Abs. 1, wonach geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus eingefordert werden. Dazu gehören insbesondere Maßnahmen, die einen unbefugten Zugriff Dritter verhindern. Diese wurden hier nicht ergriffen, so stellte das LG München I fest, da man sich nicht darauf verlassen durfte, dass die Zugangsdaten zum IT-System beim früheren Dienstleister gelöscht wurden. Die Änderung der Zugangsdaten wäre eine zumutbare Präventivmaßnahme gewesen, sodass dem Finanzdienstleister Fahrlässigkeit vorzuwerfen war. Nach Art. 82 Abs. 4 DSGVO kam es auf eine eventuelle Fahrlässigkeit des ehemaligen IT-Dienstleisters nicht an.
Bemerkenswert am Urteil ist auch, dass ein deutsches Zivilgericht erstmals einen immateriellen Schadensersatzanspruch für einen Betroffenen eines Datenlecks zuerkannt hat.