Please accept [renew_consent]%cookie_types[/renew_consent] cookies to watch this video.
GDPR | Rechtsanwältin Stefanie Hagendorff

DSGVO-Schadenersatzklagen nach Datenpanne gegen Verantwortliche nicht rechtsmissbräuchlich

Ich habe am 19.11.2020 mit meinem Mandanten einen Termin vor dem Landgericht Frankfurt wahrgenommen, in dem es um eine Klage wegen unzureichender Auskunft nach Art. 15 DSGVO und Schadenersatz nach Art. 82 Abs. 1 DSGVO gegen die Mastercard Europe SA (mit Sitz in Waterloo, Belgien) ging, die im Sommer 2019 im Rahmen ihres Bonusprogramms Mastercard Priceless Specials eine Datenpanne erlitt. Der Kläger wirft der Beklagten vor, die Pflicht zur Auskunft über die Empfänger nicht konkret erfüllt zu haben, denn nach den bisherigen Informationen war Ursache des Hacks ein leicht zu erratendes Standardpasswort eines Administrators der Plattform für das Bonusprogramm. Das bedeutet, dass pflichtgemäße Penetration Tests, die nach den branchentypischen Sicherheitsstandards (Payment Card Industry Data Security Standards -PCI DSS v.3.2.1 vom Mai 2018) alle 6 Monate hätten stattfinden müssen, die Datenpanne höchstwahrscheinlich verhindert hätten. Die Beklagte hat diese jedoch nicht konkret dargelegt und unter Beweis gestellt. Auch bleibt unklar, wer eigentlich die Vertragspartner und Betreiber des Bonusprogramms waren. Wenn die Muttergesellschaft aus den USA den Dienstleister ausgesucht und unzureichend kontrolliert hat, wäre dies ebenfalls eine Schadensursache, die auf DSGVO Verstößen beruht, weil die DSGVO sowohl die Auslagerung auf eine US-amerikanische Mutter unter dem Vorbehalt einer Rechtsgrundlage und geeigneter Garantien für dieses Outsourcing unterwirft und nach Art. 28 DSGVO der Dienstleister, der personenbezogene Daten verarbeitet, hinreichend schriftlich verpflichtet und kontrolliert wurde.
Die Beklagte hat sich hier u.a. damit verteidigt, die Klage sei rechtsmißbräuchlich, man müsse die Auftragsverarbeiter nicht konkret benennen, und nach den allgemeinen Darlegungs- und Beweislastregeln habe der Kläger zu beweisen, durch welche Pflichtverstöße konkret die Schäden verursacht seien. Der Artikel 82 Abs. 3 DSGVO sei nicht so wörtlich zu nehmen, wenn dort stehe, dass der Verantwortliche nur von einer Haftung frei kommt, wenn er nachweist, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist. Ferner seien die Schäden wie der Kontrollverlust über die Risiken für den Kläger nach Meldung der Datenpanne und Veröffentlichung in einer großen Datenbank, die Besorgnis über Identitätsdiebstahl, Profilbildung zum Nachteil des Betroffenen, die Spamnachrichten und Spamanrufe kein ersatzfähiger Schaden. Demgegenüber hatte der Kläger argumentiert: Bei der Produkthaftung oder in Filesharing-Fällen hat die Rechtsprechung ebenfalls die Anforderungen an die Darlegung und Beweislast zu Lasten desjenigen, der die Gefahrenquelle beherrscht, verschoben, daher ist das nicht systemwidrig, sondern erforderlich, um dem Datenschutz wirksam zur Geltung zu verhelfen und die DSGVO normiert klar, dass die Betroffenenrechte wie Auskunft und Schadenersatz wirksam sein müssen und hierbei auch ein immaterieller Schadenersatz z.B. für den Kontrollverlust über seine personenbezogenen Daten bei einer Datenpanne vorsieht.
Den Argumenten der Verteidigung stimmte die erkennende Richterin nach Anhörung des Klägers zu den Spamanrufen und Diskussion in einigen Punkten ausdrücklich nicht zu. Zum einen sei es für sie ganz klar nicht rechtsmißbräuchlich, wenn Betroffene nach einer Datenpanne und Veröffentlichung von Kundendatenbanken ihre Rechte auf Auskunft und Schadenersatz gegen die Verantwortlichen nach der DSGVO geltend machen und sie verstehe nicht, warum denn nicht die Mastercard Europe SA wenigstens pauschal ein Friedensangebot in Höhe von z.B. 150 Euro Entschädigung gemacht habe. Belästigende Spamanrufe, die unmittelbar nach der Veröffentlichung einsetzten und erst vor ca. 3 Monaten wieder aufhörten, scheinen doch recht klar im Zusammenhang mit der Veröffentlichung der Kundendatenbanken aus dem streitgegenständlichen Mastercard Priceless Specials Programm zu stehen und die Beklagte war für die Sicherheit des Bonusprogramms verantwortlich. Ob auch die beantragte Enschädigung für die 950 Coins, die der Kläger ebenfalls in Höhe von 1 Euro je Coin geltend macht, weil inzwischen im Gegensatz zu den Angeboten bekannter Marken vor der Datenpanne nur noch recht wertlose Einlösemöglichkeiten von unbekannten Anbietern angeboten werden, ist noch ungewiss. Wie genau das Gericht entscheiden wird, wird spannend.
Termin zur Verkündung einer Entscheidung ist am 18.01.2021.

Neue Termine Datenschutz-Workshop: Sind Sie fit für die Datenschutzgrundverordnung (EU-DSGVO)?

Datenschutz-Workshop mit praktischen Tipps zur Umsetzung für KMU

Veranstaltungsort: D-61169 Friedberg (Hessen)

Ist Ihr Unternehmen und sind Ihre Mitarbeiter auf die ab 25.05.2018 gültige EU-Datenschutzgrundverordnung und die Begleitgesetze vorbereitet? Die Änderungen sind gravierend und machen die Umsetzung zur Chefsache in den Unternehmen. Aufsichtsbehörden der Länder haben teilweise bereits Fragebögen versendet, da sie anlaßunabhängig prüfen werden. Hervorzuheben sind dabei:

  • Rechenschaftspflicht und Einrichtung eines effektiven Datenschutzmanagementsystems
  • Organisation des Meldesystems bei Pannen und Informationsrechte der Betroffenen
  • Ausweitung der Betroffenenrechte einschließlich Vermögensschadenersatzansprüche mit Beweislastumkehr
  • drakonischen Erhöhung der Bußgelder nach Artikel 83 bei Verstößen in Höhe von bis 4 % des weltweiten Umsatzes im Unternehmensverbund oder 20 Mio. EURO
  • Haftung und Bußgelder nicht versicherbar

Laut aktueller Umfragen haben viele Unternehmen noch erhebliche Schwierigkeiten, die Vorgaben rechtzeitig richtig umzusetzen und bestehen noch viele Unsicherheiten. Wir wollen Ihnen helfen. Gerne machen wir auch inhouse-Workshops in Ihrem Unternehmen, sprechen Sie uns an.

Für eine praxistaugliche Anleitung und Tipps, wie ein effektives und rechtskonformes Datenschutzmanagement eingerichtet und fortlaufend effizient durchgeführt werden kann, referiert der langjährig erfahrene Datenschutzbeauftragte Peter Suhling aus Weinheim (suhling.biz). Er ist ISO 27001 Lead Auditor Managementsysteme, Datenschutzbeauftragter, KRITIS-Auditor.

>update 02.01.2018: Ferner vermittelt Thomas Novak, IT-Sicherheitsspezialist und Geschäftsführer der @one it GmbH (http://www.one-it.de) den Teilnehmern wichtiges aktuelles Sicherheits-Know-how zur Abwehr von Hacking-Angriffen auf Ihre Unternehmenssysteme in einer kurzen Präsentation mit dem Titel „Cyber Defense für Windows-Umgebungen im deutschen Mittelstand“.<

Für die rechtlichen Fragestellungen möchte ich aus anwaltlicher Sicht als Fachanwältin für IT-Recht aus meiner Praxis eine Einführung geben und berichten, was Unternehmer zu der Reform meines Erachtens wissen sollten. Anhand aktueller Beispiele will ich Sie bei der Umsetzung unterstützen. Anschließend bietet der Workshop in kleinem Teilnehmerkreis die Möglichkeit zu vertiefender Diskussion.

Termine:

Freitag, 02. Februar 2018, 15.00 Uhr bis ca. 17:30 Uhr (Anmeldung bis 19.01.2018) oder

Freitag, 16. März 2018, 15.00 bis ca. 17.30 Uhr (Anmeldung bis 02. März) abgesagt


Veranstaltungsort: Kanzlei Hagendorff, Am Straßbach 2 (Eingang Pfingstweide), 61169 Friedberg (Hessen)

Mindestteilnehmerzahl: 8 Teilnehmer

Teilnahmeentgelt 369 € zzgl. 19 % USt. je Teilnehmer, ab 2. Teilnehmer je Unternehmen 269 € zzgl.USt. inklusive Getränke

Zielgruppe: Datenschutzbeauftragte, Führungskräfte aus kleinen und mittelständischen Unternehmen, Betriebsräte, Selbständige

Veranstaltet von Stefanie Hagendorff – it-fachanwaeltin.de

P.S. Bitte nutzen Sie diese Unterlagen für die Anmeldung: Sind Sie fit für die EU-DSGVO(T2+3)2