Das Landgericht München billigt einem Betroffenen eines Identitätsdiebstahls einen Schmerzensgeldanspruch in Höhe von 2.500 EUR zu. Der Kläger kann daneben Schadensersatz fordern. (Urteil vom 9.12.2021, Az 31 O 16606/20)
Hintergrund der Entscheidung
Der Kläger war Kunde eines Finanzunternehmens und hatte diesem umfangreiche personenbezogene Daten zur Verfügung gestellt. Im Zuge des Postident-Verfahrens hatte er auch seinen Personalausweis abfotografiert und seine aktuelle Bankverbindung dem Unternehmen bekannt gegeben. Im Zuge mehrere unberechtigter Zugriffe auf die Datenbank des Finanzunternehmens waren auch die Daten des Klägers entwendet worden. Die näheren strafrechtlichen Ermittlungen zu dem Zugriff ergaben, dass das Unternehmen zwar über eine sichere IT-Landschaft verfügte. Der Angriff war aber erfolgreich, weil die maßgeblichen – und nicht veränderten – Zugangsdaten zum System noch bei einem früheren IT-Dienstleister des Finanzunternehmens vorhanden waren. Dieser Dienstleister war Opfer eines primären Hackerangriffs geworden. Im Zuge dieses Angriffs konnten als eine Art Beifang die Zugangsdaten zum System des Finanzunternehmens entwendet werden, so dass für die Angreifer nun ein Zugriff auf die Kernsysteme des Finanzunternehmens möglich war.
Identitätsdiebstahl
Das Gericht hat dem Kläger ein Schmerzensgeld für den Verlust seiner Identität zugesprochen. Es hat dazu festgestellt, dass das Finanzunternehmen fahrlässig agiert hat. Selbst wenn das Unternehmen über eine sichere IT-Landschaft verfügt habe, hätte es bei Beendigung der Beziehung zu dem früheren Dienstleister sich davon überzeugen müssen, dass die dortigen Zugangsdaten gelöscht worden seien. Auch sei fahrlässig, die Zugangsdaten nie abgeändert zu haben.
Fehlverhalten maßgeblich
Die Entscheidung ist deshalb von erheblicher Relevanz, weil das Gericht das angenommene Fehlverhaften des Finanzunternehmens mit in die Bemessung des fälligen Schmerzensgeldanspruchs einbezogen hat. Die Kammer beruft sich daher auch auf den Begründungstext zur DSGVO, wonach ein Schadensersatz/Schmerzensgeldanspruch auch eine abschreckende Wirkung haben müsse. Nur so sei eine effektive Durchsetzung des EU-Rechts möglich. Hier drängen sich gewisse Parallelen zu den aus dem US-Recht bekannten punitive damages auf.
Hohe Risiken für Datenverarbeiter
So folgerichtig die Argumentation des Gerichts ist, so gravierend dürften sich für datenverarbeitende Unternehmen zukünftig die finanziellen Risiken erhöhen. Im konkreten Fall steht zu befürchten, dass Daten von über tausenden von Kunden abgeflossen sind. Damit ergeben sich mögliche Ersatzforderungen in Millionenhöhe. Hinzu kommt, dass das Gericht neben dem Schmerzensgeld dem Grunde nach auch einen (materiellen) Schadenersatzanspruch des Klägers festgestellt hat. Hierunter dürften u.a. Kosten für Bemühungen fallen, die auf Eindämmung der Folgen des Identiätsdiebstahls durch spezialisierte Unternehmen gerichtet sind.
Maßnahmen zur Risikominimierung
Die Entscheidung zeigt, dass Unternehmen die in der DSGVO geforderten technischen und organisatorischen Maßnahmen zum Schutz der ihnen anvertrauten Personendaten beherzigen müssen. Nur durch nachweisbare und adäquate Schutzmaßnahmen lässt sich ein Schuldvorwurf wirksam entkräften. Dabei kommen insbesondere den geforderten organisatorischen (Schutz)Maßnahmen besondere Bedeutung zu. Dies zeigt sich gerade aus dem geschilderten Fall.