Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwalt & Spezialist für Handels- und Gesellschaftsrecht
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
| Compliance, Datenschutzrecht
Blog News
In der heutigen Zeit geben wir unsere Daten fast täglich irgendwo ein. Egal ob bei Social-Media Plattformen, Streamingdiensten, Online-Bestellungen oder gar bei der Verwaltung der Online-Konten für Banken, Wasser oder Strom. Umso wichtiger ist es, dass die Einrichtungen, denen Daten anvertraut werden, sorgsam mit ihnen umgehen. Doch dies ist nicht immer so. Das Landgericht Lübeck (LG) rückt den Datenschutz und die Verantwortlichkeit von Unternehmen wieder in den Fokus. Seine Entscheidung verdeutlicht, dass haftungsrechtliche Konsequenzen auch bei indirekter Beteiligung eintreten können: DSGVO-konforme Verträge sind für Datenverarbeitung Pflicht!
Unternehmen müssen daher nicht nur in den eigenen Prozessen darauf achten, dass die Vorschriften der DSGVO eingehalten werden. Sie müssen auch die Einhaltung bei Partnern und Unterauftragsverarbeitern überwachen.
Dies ist vor allem für international tätige Unternehmen von enormer Bedeutung.
Die Klägerin, ein Verbraucher, nutzte die Musik-Streaming Plattform Deezer. Diese arbeitete für die Verwaltung der Daten mit mehreren externen Dienstleistern für die Kundenverwaltung zusammen. Dabei wurden jedoch nicht alle Anforderungen der DSGVO von allen Parteien vollständig erfüllt.
Der externe Dienstleister war Muttergesellschaft einer weiteren Firma, mit welcher er eine Auftragsverarbeitungsvereinbarung getroffen hatte.
Die Streaming-Plattform Deezer übermittelte den anderen Firmen 2019 für die Zusammenarbeit umfangreiche Kundendaten. Am 30. November wurde die Zusammenarbeit beendet. Hieraufhin bestätigte die O mit Schreiben an die Beklagte am gleichen Tag, dass dort sämtliche Daten der Beklagten am 1. Dezember gelöscht worden seien.
Hacker holen sich die Daten
Die Parteien streiten, da Hacker sich zu einem unbekannten Zeitpunkt einen Kundendatensatz aus dem Jahre 2019 holen. Dabei wurden folgende personenbezogene Daten gestohlen:
Hacker bieten Datensatz zum Verkauf an
Im Folgenden machen die Hacker den Angriff öffentlich bekannt (6. November 2020) und boten die Datensätze im Darknet zum Verkauf an. Zwischenzeitlich waren sie zudem auch kostenfrei verfügbar.
Die Beklagte meldete den Fall am 10. November bei der französischen Aufsichtsbehörde. Am 11. November 2022 informierte die Streaming-Plattform auch die Nutzer und informierte auf ihrer Homepage über den Vorfall.
Wenn ein Hackerangriff stattgefunden hat oder man einen Hackerangriff vermutet sollte man als ersten Schritt die eigenen Passwörter ändern. Dabei ist es wichtig keinen Links aus E-Mails zu folgen, sondern sich regulär bei der Webseite einzuloggen.
Dies riet auch die betroffene Plattform ihren Usern. Zusätzlich verwies sie auf aktuelle Sicherheitsempfehlungen der Behörden.
Im Kern stellte das Gericht fest, dass die Beklagte keinen DSGVO-konformen Vertrag mit dem Unterauftragsverarbeiter geschlossen hat. Aufgrund des Fehlens eines rechtskonformen Vertrages ist auch die Weitergabe der Daten rechtswidrig. Dabei trug die Klägerin insbesondere vor, dass der Datenverlust bei konformer Überwachung hätte vermieden werden können. Daher ist das Streaming-Unternehmen Verantwortlicher, auch wenn es nicht direkt an dem Vorfall beteiligt war.
Zwar bestand im vorliegenden Fall kein materieller Schaden in Form von Geldverlust, jedoch sprach das Gericht der Klägerin einen immateriellen Schaden von Ängsten und Sorgen zu.
Die Klägerin führte aus, dass sie aufgrund des Diebstahls der Daten nun damit rechnen müsse, dass diese von Kriminellen verwendet werden, um der Klägerin zu schaden. Dabei geben vor allem der volle Name und die E-Mail-Adresse Möglichkeiten wie Identitätsdiebstahl, Übernahme von Accounts und Phishing- Nachrichten. Sie führt auch die emotionalen Auswirkungen, denen sie sich ausgesetzt fühlte, auf.
Die Veröffentlichung der Daten im Darknet begründet laut Gericht eine Verletzung des allgemeinen Persönlichkeitsrechts, genauer gesagt das Recht auf informationelle Selbstbestimmung.
Infolge der Bejahung des immateriellen Schadens musste das Gericht nunmehr die Höhe des der Klägerin zustehenden Anspruchs bestimmen. Gefordert wurden ursprünglich mindestens 3.000 Euro. Das Gericht sah hiergegen jedoch lediglich einen Anspruch von 350 Euro gerechtfertigt. Die Höhe orientiert sich dabei an der erlittenen emotionalen Belastung des Klägers und dem Kontrollverlust über seine Daten. Es musste beachtet werden, welche Art von Daten die Klägerin explizit verloren hat. Es spielte dabei auch eine Rolle, dass statt des richtigen Namens lediglich der Spitzname veröffentlicht wurde. Auch konnte nicht mit Sicherheit gesagt werden, ob die Spam- und Phishing E-Mails, die die Klägerin empfängt, auf dieses konkrete Datenleck zurückzuführen sind.
Das Urteil macht die erhöhte Verantwortlichkeit von Unternehmen deutlich. Sie sind nicht nur für die eigenen Prozesse bezüglich personenbezogener Daten zuständig, sondern müssen auch dafür sorgen, dass etwaige Unterauftragsverarbeiter den Anforderungen der DSGVO entsprechen.
Da viele Unternehmen nicht auf externe Hilfe bei der Datenverarbeitung verzichten können, muss vor allem auf rechtskonforme Verträge mit den Partnern geachtet werden. Denn diese sind das A und O. Denn bei dessen Fehlen haften Unternehmen für daraus resultierende Schäden.
Der Datenschutz von personenbezogenen Daten sollte nicht unterschätzt werden. Auch wenn der zu zahlende Betrag vorliegend nicht überragend hoch war, ist der vorliegende Fall ein Präzedenzfall für alle weiteren Betroffenen. Des weiteren sind auch die anfallenden Gerichtskosten nicht zu unterschätzen.
Investieren Sie daher lieber in eine gute Compliance. Ein gutes Compliance Management System lohnt sich!
Vor allem sollten sich Unternehmen auf die
konzentrieren.
Haben Sie noch Fragen rund um die Haftungsrisiken der DSGVO? Wurden Sie Datenschutzverstößen beschuldigt? Der vorliegende Fall zeigt, wie wichtig rechtliche Absicherung nicht nur im eigenen Unternehmen, sondern auch bei externen Partnern ist.
Wir unterstützen Sie sowohl bei der Vorsorge und einer umfassenden Compliance, als auch bei der Verteidigung Ihrer Interessen vor Gericht in allen Belangen rund ums Datenschutz- und Compliance-Recht.
Unser Team von SBS LEGAL berät Sie gern – von DSGVO-konformen Verträgen bis zur Geltendmachung oder Abwehr von Schadensersatzansprüchen. Gemeinsam finden wir eine Lösung, die Ihr Unternehmen umfassend schützt. Nehmen Sie noch heute Kontakt mit uns auf für ein unverbindliches Erstgespräch.