ThinkTank_Logo_black
Das Warten Hat ein Ende
Ailance™ ThinkTank ist da!

Landgericht Lübeck: Haftung des Verantwortlichen nach Art. 82 DSGVO bei Datenleck

Haftung des Verantwortlichen bei Datenleck durch Auftragsverarbeiter.
Kategorien:

Das Landgericht Lübeck hat sich in einem Urteil vom 4. Oktober 2024 umfassend mit der Haftung nach Art. 82 Datenschutz-Grundverordnung (DSGVO) bei Datenschutzverstößen befasst. Die Entscheidung enthält wesentliche Grundsätze zur Zurechenbarkeit rechtswidriger Datenverarbeitungen, zur Auslegung des Schadensbegriffs und zu Exkulpationsmöglichkeiten der Verantwortlichen. Zentrale Frage war, unter welchen Voraussetzungen ein Verantwortlicher für Verstöße haftet, die auf Handlungen eines Auftrags- oder Unterauftragsverarbeiters zurückzuführen sind.

Datenleck bei Unterauftragsverarbeiter

Die Beklagte, Betreiberin einer Musik-Streaming-Plattform in Europa, hatte Kundendaten an einen Auftragsverarbeiter übermittelt, der wiederum mit einem Unterauftragsverarbeiter zusammenarbeitete. Zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter fehlte jedoch eine nach Art. 28 DSGVO erforderliche Vereinbarung.

Nachdem die Beklagte die Zusammenarbeit mit ihrem Auftragsverarbeiter beendet hatte, kam es bei dem Unterauftragsverarbeiter zu einem Datenleck, bei dem personenbezogene Daten entwendet und anschließend im Darknet veröffentlicht wurden. Bei den betroffenen Daten handelte es sich unter anderem um Vor- und Nachname, Nutzernamen, Geburtsdatum, E-Mail-Adresse, Daten über die Nutzung des D.-Dienstes, Geschlecht, Sprache, Land. Betroffen war jeweils auch die UserID, d.h. eine von der Beklagten vergebene Zahlenreihenfolge, welche einzelnen Nutzern individuell zugeordnet wird.

Die Klägerseite, ein Nutzer der Streaming-Plattform der Beklagten, machte immateriellen Schadensersatz geltend und trug vor, aufgrund des Datenlecks Angst vor Missbrauch ihrer Daten zu haben. Zusätzlich sei die Veröffentlichung der Daten im Darknet als eigenständige Verletzung ihres Rechts auf informationelle Selbstbestimmung zu werten.

Lese-Tipp: BSI aktualisiert Mindeststandards zur Protokollierung von Cyberangriffen

Gericht: Rechtswidrige Datenverarbeitung nach Art. 82 DSGVO weit auszulegen

  1. Zurechnung des Verantwortlichen an Verletzung
    Das Gericht stellte fest, dass der Begriff der Beteiligung an einer rechtswidrigen Datenverarbeitung nach Art. 82 DSGVO weit auszulegen sei. Es reiche aus, dass der Verantwortliche im Sinne einer conditio sine qua non an der Reihe von Vorgängen beteiligt war, die zu der schadensverursachenden Handlung geführt haben. „Der Begriff der Beteiligung an einer rechtswidrigen Datenverarbeitung nach der DSGVO setzt nicht zwingend voraus, dass der Verantwortliche selbst an dem letztlich schadensauslösenden Vorgang direkt mitgewirkt hat“, so das Landgericht.

    Im vorliegenden Fall sah das Gericht die Beklagte bereits durch die rechtswidrige Datenübermittlung an einen nicht hinreichend verpflichteten Auftragsdatenverarbeiter als beteiligt an. Der fehlende Vertrag nach Art. 28 Abs. 4 DSGVO begründete die Rechtswidrigkeit der Datenübermittlung.

  1. Exkulpationsmöglichkeit des Verantwortlichen
    Nach Art. 82 Abs. 3 DSGVO kann sich ein Verantwortlicher exkulpieren, indem er beweist, dass ihn kein Verschulden trifft. Das Gericht betonte jedoch, dass dies auch für den eigenen Verursachungsbeitrag gelte. Die Beklagte konnte nicht nachweisen, dass die Weitergabe der Daten an den Auftragsverarbeiter ohne ihr Verschulden erfolgte. Insbesondere sei es fahrlässig, personenbezogene Daten ohne ausreichende Prüfung der datenschutzrechtlichen Verpflichtungen des Empfängers weiterzugeben.

    „Erfolgte die Herausgabe in fahrlässiger Weise, haftet damit der Verantwortliche auch dann, wenn er an dem unmittelbar schadensauslösenden Vorgang nicht selbst mitgewirkt hat“, lautet das Fazit der Richter.

  1. Schadensbegriff und Ersatzfähigkeit immaterieller Schäden
    Das Gericht folgte der bisherigen Rechtsprechung des Europäischen Gerichtshofs (EuGH), wonach ein immaterieller Schaden im Sinne des Art. 82 DSGVO auch in der berechtigten Besorgnis eines möglichen Datenmissbrauchs liegen könne. Eine Bagatellgrenze gebe es nicht. Die Ängste und Sorgen des Klägers – etwa vor Phishing-Angriffen – wurden als ersatzfähiger immaterieller Schaden anerkannt.


    Darüber hinaus stellte das Gericht fest, dass die Veröffentlichung personenbezogener Daten im Darknet einen eigenständigen Schaden darstelle. Diese Verletzung des Rechts auf informationelle Selbstbestimmung wurde als schadensersatzbegründender Kontrollverlust über die eigenen Daten gewertet.

  1. Bemessung des Schadensersatzes
    Das Gericht sprach dem Kläger ein Schmerzensgeld in Höhe von 350 Euro zu. Dabei berücksichtigte es einerseits die Veröffentlichung sensibler personenbezogener Daten und die daraus resultierende Beunruhigung. Zum anderen sei kein nennenswerter Vermögensschaden entstanden und die Daten hätten nur bedingt Rückschlüsse auf die Person des Klägers zugelassen.

Verantwortliche tragen erhöhtes Risiko für Haftung

Das Urteil des Landgerichts Lübeck verdeutlicht die strengen Anforderungen der DSGVO an die Verantwortlichkeit von Unternehmen bei der Verarbeitung personenbezogener Daten. Die Ausweitung des Beteiligungsbegriffs und die weitgehende Zurechnung auch weisungswidriger Handlungen Dritter erhöhen die Haftungsrisiken für Verantwortliche erheblich.

Die Anerkennung immaterieller Schäden in Form von Ängsten und Sorgen sowie die Einordnung des Kontrollverlusts über personenbezogene Daten als eigenständiger Schaden markieren einen weiteren Schritt in der Entwicklung der Haftung nach Art. 82 DSGVO. Für Unternehmen ergibt sich daraus die Notwendigkeit, umfassende technische, organisatorische und vertragliche Maßnahmen zu implementieren, um den datenschutzrechtlichen Verpflichtungen nachzukommen und Haftungsrisiken zu minimieren.

Quelle: Urteil des Landgerichts Lübeck (15 O 216/23) vom 04.10.2024

Jetzt neu: Der intelligente Ailance™ Chatbot
Antworten auf Ihre Fragen zu Datenschutz & Compliance sowie zu den Ailance™-Lösungen auf einen Klick. Das ist jetzt möglich dank dem neuen Ailance™ Chatbot.
Tags:
Share this post :
de_DEGerman