Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Eine Plattform erfüllt die datenschutzrechtlichen Anforderungen zur sicheren Verarbeitung von personenbezogenen Daten nicht, es kommt deshalb zu einem Datenleck und die eigenen Daten werden im Darknet veröffentlicht - der Albtraum vieler Menschen wurde für die Nutzer eines Streamingdienstes zur Realität. Die Betroffen müssen die rechtswidrige Verarbeitung danach jedoch nicht einfach hinnehmen - stattdessen können sie gegebenenfalls Schadensersatz von dem Streamingdienst verlangen.
Aktuell laufen viele Verfahren von Verbrauchern, deren Daten im Darknet zum Kauf angeboten wurden, gegen einen Streamingdienst, bei dem es wegen mangelnden Sicherheitsvorkehrungen zu einem Datenleck gekommen ist. Dieser Dienstleister arbeitete bis Ende 2020 mit einem externen Unternehmen für Kundenverwaltungsdienste als sogenanntem Auftragsverarbeiter zusammen. Der Auftragsverarbeiter war hingegen die Muttergesellschaft einer weiteren Firma, die wiederum als "Unterauftragsverarbeiter" genutzt wurde, um tatsächlich die Kundendaten des Streamingdienstes zu verwalten. Die Nutzung solcher Unterauftragsverarbeiter war sowohl gemäß der individuellen Vereinbarung zwischen dem Streamingdienst und dem Auftragsverarbeiter als auch den Bestimmungen der DSGVO grundsätzlich zulässig. Für die Zusammenarbeit wurden umfangreiche Kundendaten von dem Streamingunternehmen an das Drittunternehmen übermittelt. Nachdem die Kooperation zwischen den beiden im November 2020 beendet wurde, sollten die Kundendaten beim Unterauftragsverarbeiter gelöscht werden. Dennoch erfolgte fast zwei Jahre später ein Zugriff unbefugter Dritter auf diese personenbezogenen Daten, darunter Vor- und Nachname, Nutzername, Geburtstag und e-Mail-Adresse der betroffenen Nutzer. Wenig später wurden die Datensätze im Darknet zum Kauf angeboten und die betroffenen Nutzer nach Kenntniserlangung durch den Streamingdienst benachrichtigt.
"Personenbezogene Daten müssen
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (...)
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen"
Zwar fand das Datenleck nicht auf den Servern des Streamingdienstes selbst, sondern auf denen des Unteraufragsverarbeiters statt, nach der Auffassung des Landgerichts Lübeck stellte jedoch bereits die Übermittlung der Daten von dem Streaminganbieter an das Drittunternehmen einen Verstoß gegen die DSGVO dar. Gemäß Artikel 28 Absätze 3 und 4 der Verordnung hätte ein Vertrag zwischen den beiden vorliegen müssen, der die zum Schutz der Daten zu gewährleistenden Schutzmaßnahmen enthält. In diesem Fall hat allerdings weder der Streamingdienst noch der ursprüngliche Auftragsverarbeiter einen solchen Vertrag mit dem Drittunternehmen geschlossen. Fehlt ein der DSGVO entsprechender Vertrag wie in diesem Fall, ist schon die Übertragung der personenbezogenen Daten rechtswidrig.
Die datenschutzrechtlichen Verstöße, die mit der Übertragung der personenbezogenen Daten an das Drittunternehmen einhergingen, waren allerdings nicht die einzigen, die den Streamingdienst treffen. Stattdessen werden ihm auch die Verstöße, die der Unterauftragsverarbeiter bei der Verarbeitung der übertragenen Daten begangen hat, zugerechnet. Die Beteiligung an einer rechtswidrigen Datenverarbeitung im Sinne der DSGVO setzt nicht zwingend voraus, dass der Verantwortliche (hier: der Streamingdienst) an dem schadensauslösendem Vorgang direkt mitgewirkt hat. Es reicht ein Beitrag an der Vorgangsreihe, ohne den die Handlungen nicht zu dem konkreten Schaden geführt hätten. Somit kann selbst ein Verantwortlicher, der die Daten der Nutzer rechtmäßig an Dritte weiterleitet, an dem späteren, weisungswidrigen Verhalten der Person beteiligt sein. Ohne die Weitergabe der Nutzendaten an ein Unternehmen, dessen Mitarbeiter diese in ein unzureichend gesichertes Umfeld transferieren, hätte es nicht zu dem Datenleck kommen können, sodass sich der Streamingdienst auch diesen Datenschutzverstoß zurechnen lassen muss.
Gemäß Artikel 82 Absatz 3 DSGVO werden Verantwortliche von der Haftung befreit, wenn er nachweist, dass er in keiner Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Nach der Auffassung des LG Lübeck handelte es sich in diesem Fall jedoch um eine zumindest fahrlässige Übertragung der Daten auf eine nicht hinreichend zu den Datenschutzvoraussetzungen verpflichtete Drittfirma. Insbesondere bei pflichtgemäßer Kenntnis der datenschutzrechtlichen Vorgaben hätte der Streamingdienst realisieren müssen, dass keine vertragliche oder sonstige Verpflichtung im Sinne des Artikel 28 Absatz 3 DSGVO, der die Schutzmaßnahmen gewährleisten soll, bestanden hat.
Der Schadensersatz aus Artikel 82 Absatz 1 DSGVO sichert grundsätzlich den Ersatz materieller und immaterieller Schäden. Durch das Datenleck ist es in dem vom LG Lübeck entschiedenen Fall zu keinem konkreten Vermögensschaden gekommen. Nichtsdestotrotz hat der Europäische Gerichtshof in der Vergangenheit klargestellt, dass "allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten missbräuchlich verwendet werden könnten, einen immateriellen Schaden im Sinne dieser Bestimmung darstellen kann." Somit umfasst der Ersatz immaterieller Schäden auch begründete (und von nationalen Gerichten geprüfte) Sorgen und Ängste, dass die eigenen Daten künftig von Dritten verbreitet oder missbräuchlich verwendet würden. Zwar gibt es keine Bagatellgrenze bezüglich der Bedeutung der Sorgen, die Gefahr der rechtswidrigen Datenweitergabe darf jedoch nicht rein hypothetisch sein.
Spam-Mails und Anrufe, die in zeitlicher Nähe zu dem Datenleck auftraten, können jedoch nicht als immaterieller Schaden für einen Ersatzanspruch geltend gemacht werden. Es kann dabei nicht hinreichend bewiesen werden, dass sie tatsächlich auf den Vorfall zurückgeführt werden können.
Von dem Datenleck wurde das Recht auf informationelle Selbstbestimmung als besondere und in der europäischen Rechtsordnung absolut geschützte Ausprägung des allgemeinen Persönlichkeitsrechts der Nutzer der Streamingplattform angegriffen. Der Schutz dieses Rechts ist ausdrücklicher Gegenstand der DSGVO, der in den Erwägungsgründen der Verordnung explizit als Ausgangspunkt für immateriellen Schadensersatz genannt wurde. Auch dabei braucht es laut EuGH-Rechtsprechung keine besondere Erheblichkeitsprüfung, sondern der bloße, nicht rein hypothetische Verlust der Kontrolle begründet den Schadensersatzanspruch.
Um den Kausalitätsvoraussetzungen für Schadensersatzansprüche zu genügen, müssen die Ängste und Sorgen durch die festgestellten Rechtsverstöße entstanden und für den Streamingdienst nach allgemeiner Lebenserfahrung vorhersehbar gewesen sein. Gelangen personenbezogene Daten in eine nicht hinreichend gesicherte Umgebung, ist es nicht untypisch, dass es zu Hackerangriffen und Datenlecks kommt.
Der Streamingdienst kann den Vorwurf, der den Schadensersatzanspruch begründet, auch nicht mit Nichtwissen bestreiten, weil der Nutzer in dem Verfahren vor dem LG Lübeck vorgetragen hat, welche konkreten Daten auf welchen Seiten im Darknet veröffentlicht wurden. Nach Auffassung des Gerichts ist eine Erklärung mit Nichtwissen auch außerhalb des eigenen Handlungs- oder Wahrnehmungsbereichs unzulässig, wenn und soweit eine Informationspflicht hinsichtlich der behaupteten Daten besteht. Eine solche Pflicht besteht allerdings gemäß Artikel 33 Absatz 3 Buchstabe c und Absatz 4 DSGVO gegen den Streamingdienst, der bei Verletzungen des Schutzes der personenbezogenen Daten gleichermaßen über wahrscheinliche Folgen und Maßnahmen zur Behebung und Abmilderung möglicher nachteiliger Auswirkungen informieren muss. Insbesondere ein weltweit tätiges Unternehmen wie der Streamingdienst hat die technischen Möglichkeiten, sich unproblematisch entsprechende Informationen zu verschaffen, um die Nutzer zu schützen und zu warnen.
Um die entstanden Ängste und Sorgen finanziell "auszugleichen" und einer erdorderlichen Abschreckungswirkung Rechnung zu tragen, sprach das LG Lübeck dem klagenden Nutzer unter Beachtung der besonderen Umstände des Einzelfalls einen Schadensersatz in Höhe von 350 € zu. Bei der Bestimmung der Höhe des Anspruchs sind Art, Umfang und Zweck der Verarbeitung, Grad des Verschuldens, Maßnahmen zur Minderung des Schadens, frühere Verstöße und Kategorien der personenbezogenen Daten zu beachten. In diesem Fall wurde lediglich der Spitzname und nicht der tatsächliche Vorname veröffentlicht und es kam zu keiner konkreten Vermögensgefährdung, sodass das Gericht lediglich die Sorge vor zukünftigen Angriffen auf die Daten in Form von Phishing-Mails berücksichtigt hat.
Wenn die eigenen personenbezogenen Daten von einem Datenleck betroffen sind und im Darknet veröffentlicht werden, sind bei den betroffenen Nutzern Sorgen und Unsicherheiten vorprogrammiert. In solchen Fällen fühlen sich die Betroffen häufig allein, hilflos und unsicher darüber, wie mit der Situationen umzugehen ist. Unsere Anwälte von SBS LEGAL helfen Ihnen mit ihrer fachlichen Expertise im Datenschutzrecht, Ihre rechtlichen Ansprüche durchzusetzen.
Zögern Sie nicht, sich bei uns zu helfen! Wir stehen Ihnen bei sämtlichen Fragen und Anliegen rund um das Datenschutzrecht zur Seite.