Schmerzensgeld bei Identitätsdiebstahl

LG München I, Urteil v. 09.12.2021 – 31 O 16606/20

Im Oktober 2020 benachrichtigte der bekannte Broker „Scalable Capital“ seine Kunden über eine Datenschutzverletzung, bei der bestimmte Kundeninformationen wie insbesondere ID-Daten, Namen und Adressen, Wertpapierauszüge, Steuerdaten uvm. von unbekannten Dritten gestohlen wurden. Die Zahl der von diesem Identitätsdiebstahl betroffenen Kunden wird auf mehr als 30.000 geschätzt. 

Verstoß gegen Art. 32 DS-GVO

Ein betroffener Kunde verklagt das Finanzunternehmen nun auf Schadensersatz nach Art. 82 DS-GVO. Das Gericht gab dem Kläger recht und sprach diesem 2.500 Euro Schadensersatz zu. Das LG München I bestätigt ausdrücklich einen Verstoß gegen die Pflichten zur sicheren Datenverarbeitung nach Art. 32 DS-GVO. „Scalable Capital“ hat in der Vergangenheit mit einem IT-Dienstleister zusammengearbeitet, den Vertrag aber 2015 gekündigt. Allerdings würde die entsprechenden Passwörter, mit denen der IT-Dienstleister auf die Systeme von „Scalable Capital“ zugreifen konnte, nach Beendigung der Zusammenarbeit nicht geändert.

Das Gericht stellt in seiner Entscheidung Folgendes fest:

„So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen (…) nach Beendigung der Geschäftsbeziehung nicht geändert hat. Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens (…) gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen.Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn – wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden.“

Neben Verstoß bestätigt das Gericht auch einen immateriellen Schaden

In der Rechtsprechung zum Schadensersatz nach DS-GVO scheitert die Durchsetzung immaterieller Entschädigungen regelmäßig daran, dass die klagende Partei ihren immateriellen Schaden nicht vorträgt oder nicht darlegen und beweisen kann. Dieser Umstand war in dem vorliegenden Sachverhalt vom Gericht nicht moniert worden:

Während dort (Anm. der Redaktion: Bezugnahme auf eine Entscheidung des LG Essen, Urteil v. 23.09.2021 – 6 O 190/21) ein Angriff auf den Account der E-Mail-Adresse zugrunde liegt, sind im vorliegenden Fall wesentlich umfangreichere und sensiblere Daten abgegriffen worden. (…) Das Gericht (Anm. der Redaktion: Bezugnahme auf die o. g. Entscheidung) geht zudem offensichtlich (und zutreffend) auch davon aus, dass ein Identitätsdiebstahl für einen Schmerzensgeldanspruch ausreichen würde. (….) Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet.

Die Höhe des Schadensersatzes begründet das Gericht so:

„Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet. (…) Allerdings muss bei der Bemessung der Höhe des immateriellen Schadensersatzes berücksichtigt werden, dass die streitgegenständlichen Daten offensichtlich bislang noch nicht, jedenfalls nicht zu Lasten des Klägers missbraucht worden sind und von daher allenfalls eine mehr oder weniger hohe Gefährdung angenommen werden kann. Berücksichtigt werden muss jedoch auch – wie oben angesprochen – die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes. Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht einen (immateriellen) Schadensersatz in Höhe von 2.500, – Euro als angemessen.“

Bleibt es bei einem von 30.000 Klägern?

Es ist noch unbekannt, ob sich noch weitere der rund 30.000 Betroffenen auf diese Entscheidung berufen und gleichermaßen Schadensersatz verlangen und sogar bereit sind diesen gerichtlich durchzusetzen. Die einmalige Zahlung von 2.500,- Euro wird den Beklagten sicherlich finanziell nicht groß belasten, aber wenn jeder der 30.000 Betroffenen 2.500,- Euro Schadensersatz erhalten würde, würde die finanzielle Gesamtbelastung für die zivilrechtliche Rechtsfolge 75 Mio. Euro betragen und wäre damit weit über dem Bußgeldrahmen von 20 Mio. Euro. Das ist das klassische Risiko bei Schadensersatzforderungen in sog. Massenschadensfällen!