DSGVO-Verstöße vor Gerichten
Über 1.000 Euro Schmerzengeld pro Kläger sind drin
Hacker erbeuten immer wieder Millionen von Datensätzen - bei Facebook und wie unlängst bekannt wurde auch bei Deezer. Wer klagt, hat vor Gerichten hierzulande gute Chancen auf Schmerzensgeld. Es sei doch nichts passiert, wiegeln die Beklagten ab. Rechtsanwälte der Kläger sehen das ganz anders.
Versäumnisurteil des Landgerichts Zwickau vom 14.September 2022 (Az. 7 O 334/22): Wegen fehlender Informationen über Datenverwendung, fehlender Sicherheitsmaßnahmen gegen Hackerangriffe und fehlender Information über Angriff bei einem sozialen Netzwerk wird einem Kläger 1.000 Euro zugesprochen.
Das OLG Koblenz verurteilt einen Beklagten zur Zahlung von 500 Euro, weil er die Daten des Klägers an die Schufa meldete, obwohl die Forderung noch strittig war (Az. 5 U 2141/21, Urteil vom 18. Mai 2022).
Ein Finanzdienstleister wird von einem Kunden verklagt, weil im Zuge eines Hackerangriffs aus dessen Datenbank folgende Angaben des Klienten entwendet wurden: Vor- und Nachname, Anrede, Anschrift, E-Mail-Adresse, Handynummer, Geburtsdatum, -ort und -land, Staatsangehörigkeit, Familienstand, Steuerliche Ansässigkeit und Steuer-ID, IBAN, Ausweiskopie sowie ein Portraitfoto, welches im Post-Ident-Verfahren angefertigt wurde. Vor dem LG München I argumentierte die Bank, wie es andere Beklagte in solchen Datenpannen ebenfalls zu tun pflegen: Der Kläger habe doch keinerlei materielle und immaterielle Nachteile erlitten. Es sei auch nicht bekannt, dass andere Kunden der Beklagten missbrauchsbedingt geschädigt worden sind. Im Übrigen könne man keinen Verstoß gegen die DSGVO sehen. Das Gericht zeigt sich unbeeindruckt, gibt der Klage statt und spricht dem Kläger 2.500 Euro zu (Az. 31 O 16606/20, Urteil vom 9. Dezember 2021).
Anwaltsportale sind voll von solchen Klagen gegen DSGVO-Verstöße, die im Sinne der Kläger ausgegangen sind. Wie die Fälle zeigen, muss nicht immer ein Hackerangriff zugrunde liegen. Und das jeweils zugesprochene Schmerzensgeld ist im Einzelfall nicht besonders hoch. Erbeuten Hacker aber Millionen Kunden-Datensätze und zieht nur ein Bruchteil der Betroffenen vor Gericht, kann es einem gehackten Unternehmen richtig weh tun. Ganz abgesehen vom Imageschaden, wenn ein Gericht laxen Sicherheitsvorkehrungen feststellt. So wie beim Streamingportal Deezer.
„Datenkatastrophe“ bei Deezer
2019 wurde Deezer Opfer eines Hackerangriffs. Daten von 229 Millionen Kunden wurden entwendet, davon 14,1 Millionen Kunden in Deutschland. Der Fall stelle für die betroffenen Verbraucher eine Datenkatastrophe dar und könne als klaren Verstoß gegen den Datenschutz gewertet werden, sagt die Kanzlei Dr. Stoll & Sauer. „Deezer hätte die Daten besser schützen müssen. Die zögerliche Informationspolitik und die unglaublich lange Zeit, ehe das Unternehmen den Datenklau entdeckt hat, werfen kein gutes Licht auf Deezer“. Bei der Datensicherheit sei geschlampt worden, sonst wäre es zu keinem Datenleck gekommen, so die Kanzlei.
Credential-Stuffing-Attacken
Ein unmittelbarer Schaden ist noch nicht ersichtlich. „Doch die Gefahr ist groß, dass es mit Hilfe von SMS, E-Mail oder Malware zu Betrugsversuchen kommt“, so Dr. Stoll & Sauer. Die Gefahr eines Datenlecks liege in dem Kontrollverlust über die eigenen Daten. Sind diese Daten einmal weg, seien sie für Kriminelle jederzeit benutzbar. „Die Gefahr liegt also in der Zukunft. Geraten die Daten in die falschen Hände, ist dem Missbrauch Tor und Tür geöffnet“. Die Kanzlei bietet Betroffenen Deezer-Kunden eine Erstberatung an. Sie sollen sich gegen Datenschutzverstöße juristisch wehren.
Dass ein Schaden zeitversetzt geschehen kann, zeigten Dr. Stoll & Sauer zufolge sogenannten Credential-Stuffing-Attacken. Dabei werden zuvor geleakte oder illegal erlangte Anmeldedaten genutzt, um sie für den unbefugten Zugang bei anderen Diensten massenhaft auszuprobieren. Die Angreifer gehen davon aus, dass Anwender ihre Login-Daten mit gleichen Benutzernamen und Passwörtern bei mehreren Diensten identisch verwenden. Beim Datenleck von Paypal seien so in knapp 35.000 Fällen erfolgreiche Credential-Stuffing-Attacken erfolgt. Anmeldedaten sollten nie identisch für unterschiedliche Accounts verwendet werden.
Straffrei aber doof: Digitale User-Bequemlichkeit
Freilich sind es nicht immer nur Unternehmen, die bisweilen einen fahrlässigen Umgang bei ihren IT-Sicherheitsvorkehrungen an den Tag legen. Auch Kunden sind zu sorglos und verwenden ein und dasselbe - womöglich noch schwache Passwort mehrmals. Das ist zwar juristisch gesehen nicht verboten, aber dumm und gefährlich ist diese digitale Bequemlichkeit allemal. Ob sie im Falle einer Schadensersatzklage Mitschuld trifft, erwähnt die Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH nicht. Die Kanzlei hat ein breites Portfolio. So vertrat sie im Abgasskandal 260.000 Verbraucher bei einer Musterfeststellungsklage gegen die Volkswagen und holten einen Vergleich über 830 Millionen Euro raus.
Lesen Sie mehr zum Thema
