Datenschutzrechtliche Sorgfaltspflichten nach Vertragsende

Datenlecks bei einem Dienstleister können selbst dann noch erhebliche Folgen haben, wenn der Vertrag längst beendet ist.
Ein inzwischen rechtskräftiges Urteil des LG München (vom 09.12.2021 - 31 O 16606/20) zeigt, welche Konsequenzen es haben kann, wenn Unternehmen die Datenlöschung nicht nachhalten und verdeutlicht die notwendigen Maßnahmen, um sich gegen Ansprüche wehren zu können.

A. Sachverhalt Scalable - LG München I, Endurteil vom 09.12.2021 - 31 O 16606/20

Die Beklagte ist ein Online-Broker. Am 16. Oktober 2020 stellte das Unternehmen anlässlich einer Kundenanfrage fest, dass vom April bis Oktober 2020 drei Mal unbefugt auf Nutzerdaten von insgesamt 33.200 Kunden zugegriffen wurde.

Dieser unbefugte Datenzugriff war möglich, weil ein früherer Vertragspartner des Unternehmens die Zugangsdaten zum vollständigen IT-System innehatte und diese nach Vertragsende nicht gelöscht hat. Anhand dieser Zugangsdaten konnte ein unbekannter Angreifer auf die Kundendokumente im Dokumentenarchiv zugreifen, ohne die implementierten IT-Sicherheitssysteme überwinden zu müssen.

Das Unternehmen hatte diese Zugangsdaten nach Ende der Geschäftsbeziehungen weder geändert, noch sichergestellt, dass diese gelöscht werden.

Dies sahen die Münchener Richterinnen und Richter als einen Verstoß gegen die Verpflichtung aus Art. 32 DSGVO sowie aus Art. 5 DSGVO an.

Art. 32 DSGVO verlangt, dass geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau gewährleisten zu können. Die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten können zudem aus Art. 5 Abs. 1 lit. f DSGVO, sowie den Erwägungsgründen 39 und 78 der DSGVO und der Anlage zu § 9 BDSG 2003 entnommen werden (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DSGVO Art. 5 Rn. 76).

So nennt insbesondere Erwägungsgrund 39 der DSGVO, dass personenbezogene Daten so verarbeitet werden sollten, dass ihre Sicherheit und Vertraulichkeit gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.

Das Unternehmen verteidigte sich, indem es behauptete, dass die technischen und organisatorischen Maßnahmen angemessen seien. So nutze das Unternehmen für die Abwicklung des gesamten Kundengeschäfts eine sichere und standardisierte IT-Infrastruktur mit u. a. Applikations- und Datenbankservern, Speicherkapazitäten, Redundanzsystemen und Backup-Lösungen. Die dem Dokumentenarchiv zu Grunde liegende IT-Infrastruktur ist außerdem nach IEC 27001:2013, 27017:2015, 27018:2019, ISO/IEC 9001:2015 und CSA STAR CCM v3.0.1 zertifiziert. (LG München I, 31 O 16606/20, Rn. 23)

Unstreitig und entscheidend war jedoch, dass das Unternehmen die Zugangsdaten für den Dienstleister nach Beendigung der Geschäftsbeziehung nicht geändert hat. Aufgrund der Qualität und Sensibilität der gespeicherten Daten durfte sich das Unternehmen nicht darauf verlassen, dass der Dienstleister die Zugangsinformationen vollständig und dauerhaft löscht. Weil das Unternehmen diese Löschung nicht überprüft hat, war es fahrlässig, die Zugangsdaten seit Beendigung der Geschäftsbeziehungen mit dem Dienstleister unverändert zu lassen.

So bejahte das Gericht einen Verstoß gegen die DSGVO und sprach dem Kläger, dessen Daten bereits im Darknet angeboten wurden, einen Zahlungsanspruch in Höhe von 2.500 € zu, um einen immateriellen Schaden zu kompensieren. Des Weiteren wurde festgestellt, dass das Unternehmen verpflichtet ist dem Kläger alle künftigen materiellen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff auf das Datenarchiv im Zeitraum vom April bis Oktober 2020 entstanden sind.

In einem Parallelverfahren entschied das LG Köln (Urteil vom 18.05.2022 - 28 O 328/21), ebenfalls mit einer betroffenenfreundlichen Entscheidung. Hier sprach das Gericht dem Kläger lediglich einen Anspruch in Höhe von 1.200 € zu, weil die Daten des Betroffenen nicht im Darknet angeboten wurden.

B. Fazit/Auswirkungen für die Praxis

Wie die Urteile zeigen, wird dem Betroffenen, auch bei umfangreichen IT-Sicherheitsmaßnahmen seitens des Verantwortlichen, ein Anspruch eingeräumt, wenn ein organisatorischer Fehler, wie eine ausbleibende Kontrolle einer Datenlöschung nach Ende der Geschäftsbeziehungen oder die Änderung dieser Zugangsdaten, vorliegt.

Auch wenn die Schadensersatzsummen im Einzelfall gering sein mögen, kann der Gesamtschaden für Unternehmen schnell enorme Summen erreichen. Das kann vor allem dann passieren, wenn es zu einer Klagewelle kommt. Dann können sich die Einzelfallsummen schnell multiplizieren. Aus diesem Grund sollten Verantwortliche vorsichtig sein und nicht darauf vertrauen, dass frühere Vertragspartner Zugangsdaten löschen. Um auf der sicheren Seite zu sein, sollten neben der notwendigen Kontrolle die Zugangsdaten zu den IT-Sicherheitssystemen nach Ende der Geschäftsbeziehungen geändert werden, um der Schadenshaftung zu entgehen. Dies ist deshalb vom erhöhten Unternehmensinteresse, weil zusätzlich zu den privaten Klagen auch Bußgelder verhängt werden können.