LG München I: Schadensersatz nach Art.82 DSGVO

Schadensersatz nach Art. 82 DGVO – 2.500 EUR Schadensersatz nach Art.82 DSGVO ua wegen nicht geänderter Zugangsdaten nach Vertragsbeendigung. Das Gericht hat in seinem Endurteil vom 9. Dezember 2021 (Az.: 31 O 16606/20) die durch eine ehemaligen Kunden eines Finanzdienstleistungsunternehmens gegenüber diesem geltend gemachten Anspruch zu bewerten gehabt. Hintergrund war ein unberechtigter Datenzugriff Dritter auf personenbezogene Daten des Klägers, die dieser dem beklagten Unternehmen während der vertraglichen Bezeichnungen zur Verfügung gestellt hatte. Betroffen waren folgende Daten des Klägers gemäß Darstellung im Sachverhalt des Endurteils:

Vor- und Nachname, Anrede, Anschrift, E-Mail-Adresse, Handynummer, Geburtsdatum, -ort und -land, Staatsangehörigkeit, Familienstand, Steuerliche Ansässigkeit und Steuer-ID, IBAN, Ausweiskopie, Portraitfoto, welches im Post-Ident-Verfahren angefertigt wurde

Die Richter sprachen dem Kläger hier einen Schadensersatz in Höhe von 2.500 EUR aufgrund der Rechtsgrundlage des Art.82 DSGVO zu.

Als Voraussetzungen für diesen Anspruch musste das Gericht sich auch mit der Frage beschäftigten, ob ein haftungsbegründende Handlung, also kurz gesagt ein Verstoß gegen die Regelungen der DSGVO, vorlag.

Dies bejahrte das Gericht und begründete unter anderem wie folgt in den Entscheidungsgründen:

Unter Zugrundelegung dieser Vorgaben hat die Beklagte einen Datenschutzverstoß begangen.

„…Hierbei kann dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen zugerechnet werden können. Denn die Beklagte hat selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DSGVO). So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen nach Beendigung der Geschäftsbeziehung nicht geändert hat. Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen. Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn – wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden. Sofern die Beklagte ausweislich Ihres Schreibens vom 19.10.2020 nach dem Vorfall umgehend alle erforderlichen Maßnahmen ergriffen hat, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen, so ist es – entgegen der Ansicht des Beklagten – nicht als unzumutbar anzusehen, dass dies bereits unmittelbar nach Beendigung der Geschäftsbeziehung mit dem Unternehmen hätte getan werden können. Auch wenn dies einen gewissen Aufwand erfordert hätte – und jetzt ja auch erfordert hat, kann dies keine Berechtigung dafür sein, die Daten der Kunden in einem bestimmten Bereich der Gefährdung durch einen (möglichen) unerlaubten Zugriff von außen ausgesetzt sein zu lassen. Wenn die Beklagte außerdem betont, dass es sich bei um ein unabhängiges Unternehmen handelt, dessen etwaige Unzulänglichkeiten ihr daher von vornherein nicht zugerechnet werden können, ist dies unerheblich. Denn es lag eben auch eine Unzulänglichkeit auf Seiten der Beklagten bzw. ein eigener DSGVO-Verstoß vor, und gerade die seitens der Beklagten vorgetragene fehlende rechtliche und tatsächliche Möglichkeit, den Löschungsprozess bei zu beaufsichtigen, zu kontrollieren oder anzuweisen erforderte auf Seiten der Beklagten die Vornahme entsprechender eigener Sicherungsmaßnahmen….“