Immaterieller Schadensersatz nach Wechsel eines externen IT-Dienstleisters

LG München I, 2021-12-09 — 31 O 16606/20

Branche/ Lebenslage

Wechsel eines externen IT-Dienstleisters

Akteure

  • externer IT-Dienstleister
  • datenschutzrechtlich Verantwortlicher

Wer haftet?

  • datenschutzrechtlich Verantwortlicher

Haftungsart

vermutete Verschuldenshaftung

Haftungsumfang

  • materieller Schaden &
  • immaterieller Schaden

Haftungsbegründendes Verhalten

Verstoß gegen Pflichten der DSGVO

Technische Umstände

Persönliche Umstände

Möglichkeiten der Haftungsvermeidung

Austausch der Zugangsdaten eines IT-Systems beim Wechsel eines externen IT-Dienstleisters

Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung

Im IT-System eines Finanzdienstleister sind zahlreiche besonders sensible persönliche Daten (wie Steuer-ID, IBAN, Ausweiskopie sowie ein Portraitfoto) gespeichert.

Zahlreiche Datensätze konnten unrechtmäßig kopiert werden, weil die Zugangsdaten noch bei einem ehemaligen IT-Dienstleister hinterlegt waren, der Ziel einer Cyberattacke war.

Der haftungsbegründende Verstoß gegen die DSGVO liegt in Art. 32 Abs. 1, wonach geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus eingefordert werden. Dazu gehören insbesondere Maßnahmen, die einen unbefugten Zugriff Dritter verhindern. Diese wurden hier nicht ergriffen, so stellte das LG München I fest, da man sich nicht darauf verlassen durfte, dass die Zugangsdaten zum IT-System beim früheren Dienstleister gelöscht wurden. Die Änderung der Zugangsdaten wäre eine zumutbare Präventivmaßnahme gewesen, sodass dem Finanzdienstleister Fahrlässigkeit vorzuwerfen war. Nach Art. 82 Abs. 4 DSGVO kam es auf eine eventuelle Fahrlässigkeit des ehemaligen IT-Dienstleisters nicht an.

Bemerkenswert am Urteil ist auch, dass ein deutsches Zivilgericht erstmals einen immateriellen Schadensersatzanspruch für einen Betroffenen eines Datenlecks zuerkannt hat.