Inhalt:
In dem Blogbeitrag geht es um die Aussichten von Betroffenen von Datenpannen, Schadenersatz zu erhalten. Die Autorin ist eine Anwältin, die Betroffene in Schadenersatzprozessen wegen der Datenpanne 2019 bei Mastercard Priceless Specials Loyalitätsprogramm vertritt, u.a. vor dem Oberlandesgericht in Frankfurt am Main und beruft sich dabei auf mehrere neue Grundsatz-Urteile des Europäischen Gerichtshofs (EUGH) zur Haftung von Behörden und Unternehmen bei Datenleaks (Veröffentlichung großer Datenbanken mit sensiblen Kundendaten) aufgrund von Sicherheitslücken, die in den letzten Monaten gefällt wurden. Bisher haben betroffene Unternehmen höchstrichterliche Bestätigung beim Bundesgerichtshof verhindert, indem sie vorher einen Vergleich abgeschlossen und hohe Summen gezahlt haben unter dem Vorbehalt der Geheimhaltung. Noch in 2023 ist ein anhängiges Verfahren auf diesem Wege vor dem BGH zurückgenommen worden, weil Mastercard eine Entscheidung des Bundesgerichtshofs mit Verurteilung zu hohen Schadenersatzbeträgen der dortigen Kläger fürchtete und sich mit der EUGD geeinigt hat – siehe dazu Juve und Beitrag statt vieler in der FAZ dazu. Grund hierfür war die bisherige Sabotagehaltung vieler deutscher Gerichte, sonst wäre der Schadenersatz höher ausgefallen als 300-400 Euro je Kläger der EUGD. Die Ansicht, dass hier deutsche Gerichte vielfach in eine Art Sabotagehaltung verfallen sind, lesenswert der ausführlich erläuternde Beitrag von meinem Anwaltskollegen Christian Franz bei CR-Online. Diese Sabotagehaltung wird aber in 2024 von den Zivilrichtern nicht wegen der klaren höchstrichterlichen Entscheidungen des EUGH in 2023 mehr aufrecht erhalten werden können.
EUGH weitet das Schadenersatzrisiko für Unternehmen und ihre Serviceprovider bei Datenpannen aus
In einem Urteil vom 14. Dezember 2023 hat der EUGH (C-340/21) entschieden, dass Betroffene von Datenpannen auch dann Anspruch auf Schadenersatz haben, wenn sie nicht konkret nachweisen können, dass sie durch die Datenpanne tatsächlich geschädigt wurden, denn die bloße begründete Angst der Opfer vor möglichem Identitätsbetrug aufgrund der systematischen Verwertung der geleakten Kundendaten und finanzielle Nachteile bei negativen falschen Meldungen an Auskunftsdienste und Kreditgeber, Spam- und gefährliche Phishing-Anrufe und ähnlichem kann laut EUGH ein Schaden sein. Vielmehr genügt es, wenn die Datenpanne die Möglichkeit des Identitätsdiebstahls oder anderer negativer Folgen erhöht hat, weil mit der Veröffentlichung großer Kunden- und Mitarbeiterdatenbanken ein Kontrollverlust und damit massiver Verlust der informationellen Selbstbestimmung der betroffenen Menschen einhergeht. Phishing bezeichnet den Diebstahl persönlicher Daten mit Hilfe gefälschter Webseiten, E-Mails oder Kurznachrichten und nimmt aufgrund der Daten aus Datenlecks als Gefahr laufend zu. Erbeutete Daten werden oft an andere Betrüger weiterverkauft oder einfach aus Gründen der „Abschreckung“ geleakt, die dann etwa aufgrund von Kontaktdaten, Bankverbindungen oder Kreditkartennummern für Käufe auf Rechnung der Opfer Sicherheitslücken der Händler und Banken überwinden können und so missbraucht werden können. Auch Behörden sind betroffen hiervon.
Rechtsschutz bei DSGVO-Schadenersatz nun für Betroffene bei Datenpannen gestärkt
Dieses Urteil ist ein wichtiger Schritt für den Rechtsschutz von Betroffenen von Datenpannen. Denn es macht es für sie einfacher, Schadenersatz zu erhalten.
Wie geht es weiter mit den Mastercard Priceless Specials Klagen?
Im Fall der Mastercard-Datenpanne mit Finanz- und Kreditkartendaten von 90.000 Betroffenen im August 2019, von denen die Autorin Kläger selbst vertritt, hat das Oberlandesgericht Frankfurt das Verfahren noch nicht entschieden. Die Kläger haben neben Mastercard Europe auch zwei Serviceprovider mit Sitz in Österreich und Großbritannien als Gesamtschuldner vor dem Oberlandesgericht mit verklagt. Der Senat hat die höchstrichterlichen Urteile abgewartet und daher ist es wahrscheinlich, dass das Gericht das EUGH-Urteil nun in 2024 in diesem Verfahren berücksichtigen wird. Zudem muss hier auch der Senat entscheiden, ob die Auftragsverarbeiter, die Mastercard nicht identifizierbar öffentlich genannt hat, in der Berufung als Gesamtschuldner mit haften und verklagt werden dürfen (ich denke eindeutig ja, da mißbräuchlich und pflichtwidrig durch Verletzung der Auskunftspflichten nach Art. 15 DSGVO von dem verantwortlichen Unternehmen in kollusiven Zusammenwirken mit seinem Provider verursacht). Bislang sind die Gerichte bei den Klageabweisungen anderer Kläger, die die Anwälte von Mastercard anführen, davon ausgegangen, dass die Betroffenen die Datenschutzverstöße nachweisen und meinten, der emotionale Stress Betroffener oder die bloße Sorge vor Datenmißbrauch sei kein Schaden. Auch die nicht mehr einlösbaren Coins, die beim Kläger fast 1000 Euro allein als entgangenen Gewinn ausmachen, hat Mastercard bisher nicht erstattet. Diese restriktiven Urteile werden die Gerichte nach diesen klaren Entscheidungen des EUGH so nicht mehr aufrechterhalten können.
Schaden kann auch nur die Angst vor Datenmißbrauch sein oder der Kontrollverlust nach einem Datenleak, so nun klare Aussage des EUGH
Es bleibt aber dabei, dass Betroffene einen persönlichen immateriellen oder materiellen Schaden nachweisen müssen, jedoch ist der Begriff des Schadens laut EUGH sehr weit ausgedehnt worden und kann auch vor dem Eintritt von Kreditkartenbetrug und ähnlichen finanziellen Nachteilen in dem Stress infolge des Datenleaks für die betroffenen Kunden bestehen.
Signalwirkung auch für andere Datenpannen, bei denen nun die Unternehmen ihre Unschuld nachweisen müssen
Sollte das Gericht der Auffassung sein, dass die Mastercard-Datenpanne den Betroffenen einen Anspruch auf Schadenersatz gibt, wäre dies ein weiteres positives Signal für die Betroffenen von Datenpannen mit Auswirkungen auch für weitere Datenleaks wie etwa in 20223 bei der Bonify App – zugehörig zur SCHUFA Holding Gruppe aus Wiesbaden – oder bei Nutzern des Kontowechselservices von Majorel, den einige Banken wegen einer Sicherheitslücke bei dem Finanzdienstleister Move-IT hatten oder der Datenpanne bei Motel One. Bisher haben die von Datenpannen betroffenen Unternehmen wegen der restriktiven Rechtsprechung deutscher Zivilgerichte oft die Veröffentlichung der Daten nach Erpressungsversuchen der kriminellen Hacker einfach in Kauf genommen ohne Rücksicht auf ihre Kunden oder Mitarbeiter, da die Behörden nicht in der Lage waren, die Vorgänge ohne deren Mitwirkung aufzuklären und die Betroffenen keine internen Einblicke hatten. Betroffene konnten also natürlich nicht die konkreten Nachlässigkeiten in der IT-Sicherheit und beim Datenschutz vortragen, die Unternehmen haben sich daher bisher oft selbst als als Opfer dargestellt, auch dann, wenn sie selbst als Verantwortliche sich unzureichend um den Datenschutz ihrer Kunden oder Mitarbeiter gekümmert haben. Ich empfehle den Unternehmen wegen der technischen und bisher praktisch stattfindenden Ransomattaken einen interessanten Vortrag von Linus Neumann (IT-Security-Spezialist/IT-Forensiker bei zahlreichen Ransomattacken auf Unternehmen) und Kai Biermann (Journalist) auf dem Hamburger Chaos Computer Club Kongress vom Dezember 2023 Hirne hacken: Hackback Edition – media.ccc.de. Allerdings wird es im Hinblick auf 2024 wohl künftig wegen der künftigen hohen Schadenersatzklagen anders laufen. Schwarze Schafe, die Nachlässigkeiten oder gar bewusstes Kalkül mangels effektiver Sanktionen angestrengt haben, werden künftig auch von deutschen Zivilgerichten in die Verantwortung für schuldhaft verursachte Schäden der Betroffenen nach Datenleaks genommen werden. Indem laut EUGH nicht die Kläger nachweisen müssen, dass die Unternehmen für die Sicherheitslücken bei ihren Serviceprovidern mit haften müssen, sondern die Unternehmen nur von der Haftung befreit sind, wenn sie nachweisen, dass sie trotz angemessener Datenschutzmaßnahmen gehackt („von einem Cyberangriff betroffen“) sind, wird sich die restriktive Haltung der deutschen Zivilgerichte künftig zugunsten der Betroffenen ändern und dies wird zu mehr Druck auf die Unternehmen beim Datenschutz führen. Der Schaden muss entschädigt werden, auch wenn er infolge einer Datenpanne nicht zu materiellen Schäden geführt haben sollte – alleine der Kontrollverlust über die Kenntnis privater Daten durch einen Datenleak und die Sorge vor negativen Folgen wie Identitätsdiebstahl, negatives Scoring bei Kreditgebern, Spam- und Phishinganrufen und so weiter sind in einer zunehmend digitalisierten Gesellschaft ein Schaden der zu einem wirksamen Schadenersatz führt. Ebenso wie im Dieselskandal der Bundesgerichtshof klargestellt hat, dass bereits das ernsthafte Risiko, dass eine zuständige Behörde das Fahrzeug des gutgläubigen Käufers stillegt, weil es infolge unerlaubter Software mit Abschalteinrichtungen nicht den Abgasvorschriften entspricht (Risikoerhöhungsschaden), ist ein erstattungsfähiger Schaden (BGH Urteil vom 26.06.2023 – VIa ZR 335/21 . Ähnlich ist es mit der Risikoerhöhung, die Betroffene wegen nachlässigen Datenschutzmaßnahmen der verantwortlichen Unternehmen und ihrer Serviceprovider mit jedem Datenleak erleiden, denn eine natürliche Person hat als Betroffener im Hinblick auf die informationelle Selbstbestimmung und Recht auf Privatsphäre keinen Einblick auf die internen Prozesse und muss sich auf das verantwortliche Unternehmen im Hinblick auf die Rechtskonformität und Sicherheit der Produkte und Services verlassen können. Wenn diese Sicherheit pflichtwidrig vorgetäuscht wird, ist der Kontrollverlust über die legitime Verarbeitung der personenbezogenen Daten durch einen unerlaubten Datenabfluss daher ein erstattungspflichtiger Schaden (EUGH C-356/22 vom 14.12.2023 – Gemeinde Ummendorf). Nicht jeder Datenschutzverstoß führt automatisch zu einem immateriellen Schaden, jedoch ist ein informationelle Kontrollverlust über die Offenlegung privater Daten an unbefugte Dritte infolge eines rechtswidrig ermöglichten Datenleaks ein erheblicher immaterieller informationeller Schaden.
Künftig stärkere Schadenersatzhaftung von Unternehmen nach Datenpannen, wenn Sicherheitslücken verschuldet sind
Ich gehe davon aus, dass sich der Rechtsschutz für Betroffene von Datenpannen in Zukunft insgesamt verbessern wird. Denn die neuen EUGH-Urteile werden dazu führen, dass Unternehmen künftig stärker für Datenpannen haften müssen. Allerdings haben einige Oberlandesgerichte wie Stuttgart, Hamm und Köln in den Parallelverfahren des Datenleaks bei Facebook – Datascreeping gezeigt, dass immer wieder die Anforderungen an die Annahme des Schadens verneint wird und Schadenersatzklagen unter Verweis darauf auch abgewiesen werden. Diese Sicht wird aber wohl kaum mit den klaren Aussagen des EUGH (C-300/21) zum Schaden, der keine Erheblichkeit nach der DSGVO voraussetzt und auch schon bei begründeter Angst Betroffener vor Datenmißbrauch begründet sein.
Ansprüche nicht verjährt
Die Ansprüche sind im Fall von Mastercard auch noch nicht verjährt, weil entgegen der Pflicht, die Serviceprovider klar identifizierbar bei einem Auskunftsverlangen nach Art. 15 DSGVO zu benennen, verheimlicht hat. Ohne Kenntnis der den Anspruch begründenden Umständen, wozu auch die Identität aller Gesamtschuldner gehört, beginnt nach dem Bürgerlichen Gesetzbuch (§ 199 BGB) die Verjährungsfrist nicht zu laufen. Nach Artikel 82 Abs. 3 DSGVO als Gesamtschuldner auf Schadenersatz in Anspruch genommen werden können.
Fazit:
Die Aussichten von Betroffenen von Datenpannen, Schadenersatz zu erhalten, haben sich durch die jüngsten Urteile des EUGH deutlich verbessert. Unternehmen müssen künftig stärker für Datenpannen haften, wenn sie nicht Vorsorge getroffen haben und keine ausreichenden Datenschutz-Maßnahmen nachweisen können. Der Schadenersatz kann je nach Einzelfall mehrere 1.000 Euro betragen zzgl. des Werts der entgangenen Coins. Auch die korrekte Bearbeitung der Auskunftsersuchen ist wichtig. Dies hat auch Auswirkungen auf die Verjährung der Ansprüche.
Kontaktformular
mit Option Dateien hochzuladen und kostenlose Ersteinschätzung mit Vorschlag zu erhalten.