Schlagwort: Schmerzensgeld

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht

Mastercard-Datenpanne: Betroffene haben gute Chancen auf Schadenersatz

Datenschutzpanne wegen unzureichender Verschlüsselung und anderer Sicherheitsmängel

Inhalt:
In dem Blogbeitrag geht es um die Aussichten von Betroffenen von Datenpannen, Schadenersatz zu erhalten. Die Autorin ist eine Anwältin, die Betroffene in Schadenersatzprozessen wegen der Datenpanne 2019 bei Mastercard Priceless Specials Loyalitätsprogramm vertritt, u.a. vor dem Oberlandesgericht in Frankfurt am Main und beruft sich dabei auf mehrere neue Grundsatz-Urteile des Europäischen Gerichtshofs (EUGH) zur Haftung von Behörden und Unternehmen bei Datenleaks (Veröffentlichung großer Datenbanken mit sensiblen Kundendaten) aufgrund von Sicherheitslücken, die in den letzten Monaten gefällt wurden. Bisher haben betroffene Unternehmen höchstrichterliche Bestätigung beim Bundesgerichtshof verhindert, indem sie vorher einen Vergleich abgeschlossen und hohe Summen gezahlt haben unter dem Vorbehalt der Geheimhaltung. Noch in 2023 ist ein anhängiges Verfahren auf diesem Wege vor dem BGH zurückgenommen worden, weil Mastercard eine Entscheidung des Bundesgerichtshofs mit Verurteilung zu hohen Schadenersatzbeträgen der dortigen Kläger fürchtete und sich mit der EUGD geeinigt hat – siehe dazu Juve und Beitrag statt vieler in der FAZ dazu. Grund hierfür war die bisherige Sabotagehaltung vieler deutscher Gerichte, sonst wäre der Schadenersatz höher ausgefallen als 300-400 Euro je Kläger der EUGD. Die Ansicht, dass hier deutsche Gerichte vielfach in eine Art Sabotagehaltung verfallen sind, lesenswert der ausführlich erläuternde Beitrag von meinem Anwaltskollegen Christian Franz bei CR-Online. Diese Sabotagehaltung wird aber in 2024 von den Zivilrichtern nicht wegen der klaren höchstrichterlichen Entscheidungen des EUGH in 2023 mehr aufrecht erhalten werden können.

EUGH weitet das Schadenersatzrisiko für Unternehmen und ihre Serviceprovider bei Datenpannen aus

In einem Urteil vom 14. Dezember 2023 hat der EUGH (C-340/21) entschieden, dass Betroffene von Datenpannen auch dann Anspruch auf Schadenersatz haben, wenn sie nicht konkret nachweisen können, dass sie durch die Datenpanne tatsächlich geschädigt wurden, denn die bloße begründete Angst der Opfer vor möglichem Identitätsbetrug aufgrund der systematischen Verwertung der geleakten Kundendaten und finanzielle Nachteile bei negativen falschen Meldungen an Auskunftsdienste und Kreditgeber, Spam- und gefährliche Phishing-Anrufe und ähnlichem kann laut EUGH ein Schaden sein. Vielmehr genügt es, wenn die Datenpanne die Möglichkeit des Identitätsdiebstahls oder anderer negativer Folgen erhöht hat, weil mit der Veröffentlichung großer Kunden- und Mitarbeiterdatenbanken ein Kontrollverlust und damit massiver Verlust der informationellen Selbstbestimmung der betroffenen Menschen einhergeht. Phishing bezeichnet den Diebstahl persönlicher Daten mit Hilfe gefälschter Webseiten, E-Mails oder Kurznachrichten und nimmt aufgrund der Daten aus Datenlecks als Gefahr laufend zu. Erbeutete Daten werden oft an andere Betrüger weiterverkauft oder einfach aus Gründen der „Abschreckung“ geleakt, die dann etwa aufgrund von Kontaktdaten, Bankverbindungen oder Kreditkartennummern für Käufe auf Rechnung der Opfer Sicherheitslücken der Händler und Banken überwinden können und so missbraucht werden können. Auch Behörden sind betroffen hiervon.

Rechtsschutz bei DSGVO-Schadenersatz nun für Betroffene bei Datenpannen gestärkt

Dieses Urteil ist ein wichtiger Schritt für den Rechtsschutz von Betroffenen von Datenpannen. Denn es macht es für sie einfacher, Schadenersatz zu erhalten.

Wie geht es weiter mit den Mastercard Priceless Specials Klagen?

Im Fall der Mastercard-Datenpanne mit Finanz- und Kreditkartendaten von 90.000 Betroffenen im August 2019, von denen die Autorin Kläger selbst vertritt, hat das Oberlandesgericht Frankfurt das Verfahren noch nicht entschieden. Die Kläger haben neben Mastercard Europe auch zwei Serviceprovider mit Sitz in Österreich und Großbritannien als Gesamtschuldner vor dem Oberlandesgericht mit verklagt. Der Senat hat die höchstrichterlichen Urteile abgewartet und daher ist es wahrscheinlich, dass das Gericht das EUGH-Urteil nun in 2024 in diesem Verfahren berücksichtigen wird. Zudem muss hier auch der Senat entscheiden, ob die Auftragsverarbeiter, die Mastercard nicht identifizierbar öffentlich genannt hat, in der Berufung als Gesamtschuldner mit haften und verklagt werden dürfen (ich denke eindeutig ja, da mißbräuchlich und pflichtwidrig durch Verletzung der Auskunftspflichten nach Art. 15 DSGVO von dem verantwortlichen Unternehmen in kollusiven Zusammenwirken mit seinem Provider verursacht). Bislang sind die Gerichte bei den Klageabweisungen anderer Kläger, die die Anwälte von Mastercard anführen, davon ausgegangen, dass die Betroffenen die Datenschutzverstöße nachweisen und meinten, der emotionale Stress Betroffener oder die bloße Sorge vor Datenmißbrauch sei kein Schaden. Auch die nicht mehr einlösbaren Coins, die beim Kläger fast 1000 Euro allein als entgangenen Gewinn ausmachen, hat Mastercard bisher nicht erstattet. Diese restriktiven Urteile werden die Gerichte nach diesen klaren Entscheidungen des EUGH so nicht mehr aufrechterhalten können.

Schaden kann auch nur die Angst vor Datenmißbrauch sein oder der Kontrollverlust nach einem Datenleak, so nun klare Aussage des EUGH

Es bleibt aber dabei, dass Betroffene einen persönlichen immateriellen oder materiellen Schaden nachweisen müssen, jedoch ist der Begriff des Schadens laut EUGH sehr weit ausgedehnt worden und kann auch vor dem Eintritt von Kreditkartenbetrug und ähnlichen finanziellen Nachteilen in dem Stress infolge des Datenleaks für die betroffenen Kunden bestehen.

Signalwirkung auch für andere Datenpannen, bei denen nun die Unternehmen ihre Unschuld nachweisen müssen

Sollte das Gericht der Auffassung sein, dass die Mastercard-Datenpanne den Betroffenen einen Anspruch auf Schadenersatz gibt, wäre dies ein weiteres positives Signal für die Betroffenen von Datenpannen mit Auswirkungen auch für weitere Datenleaks wie etwa in 20223 bei der Bonify App – zugehörig zur SCHUFA Holding Gruppe aus Wiesbaden – oder bei Nutzern des Kontowechselservices von Majorel, den einige Banken wegen einer Sicherheitslücke bei dem Finanzdienstleister Move-IT hatten oder der Datenpanne bei Motel One.  Bisher haben die von Datenpannen betroffenen Unternehmen wegen der restriktiven Rechtsprechung deutscher Zivilgerichte oft die Veröffentlichung der Daten nach Erpressungsversuchen der kriminellen Hacker einfach in Kauf genommen ohne Rücksicht auf ihre Kunden oder Mitarbeiter, da die Behörden nicht in der Lage waren, die Vorgänge ohne deren Mitwirkung aufzuklären und die Betroffenen keine internen Einblicke hatten. Betroffene konnten also natürlich nicht die konkreten Nachlässigkeiten in der IT-Sicherheit und beim Datenschutz vortragen, die Unternehmen haben sich daher bisher oft selbst als als Opfer dargestellt, auch dann, wenn sie selbst als Verantwortliche sich unzureichend um den Datenschutz ihrer Kunden oder Mitarbeiter gekümmert haben. Ich empfehle den Unternehmen wegen der technischen und bisher praktisch stattfindenden Ransomattaken einen interessanten Vortrag von Linus Neumann (IT-Security-Spezialist/IT-Forensiker bei zahlreichen Ransomattacken auf Unternehmen) und Kai Biermann (Journalist) auf dem Hamburger Chaos Computer Club Kongress vom Dezember 2023 Hirne hacken: Hackback Edition – media.ccc.de.  Allerdings wird es im Hinblick auf 2024 wohl künftig wegen der künftigen hohen Schadenersatzklagen anders laufen. Schwarze Schafe, die Nachlässigkeiten oder gar bewusstes Kalkül mangels effektiver Sanktionen angestrengt haben, werden künftig auch von deutschen Zivilgerichten in die Verantwortung für schuldhaft verursachte Schäden der Betroffenen nach Datenleaks genommen werden. Indem laut EUGH nicht die Kläger nachweisen müssen, dass die Unternehmen für die Sicherheitslücken bei ihren Serviceprovidern mit haften müssen, sondern die Unternehmen nur von der Haftung befreit sind, wenn sie nachweisen, dass sie trotz angemessener Datenschutzmaßnahmen gehackt („von einem Cyberangriff betroffen“) sind, wird sich die restriktive Haltung der deutschen Zivilgerichte künftig zugunsten der Betroffenen ändern und dies wird zu mehr Druck auf die Unternehmen beim Datenschutz führen. Der Schaden muss entschädigt werden, auch wenn er infolge einer Datenpanne nicht zu materiellen Schäden geführt haben sollte – alleine der Kontrollverlust über die Kenntnis privater Daten durch einen Datenleak und die Sorge vor negativen Folgen wie Identitätsdiebstahl, negatives Scoring bei Kreditgebern, Spam- und Phishinganrufen und so weiter sind in einer zunehmend digitalisierten Gesellschaft ein Schaden der zu einem wirksamen Schadenersatz führt. Ebenso wie im Dieselskandal der Bundesgerichtshof klargestellt hat, dass bereits das ernsthafte Risiko, dass eine zuständige Behörde das Fahrzeug des gutgläubigen Käufers stillegt, weil es infolge unerlaubter Software mit Abschalteinrichtungen nicht den Abgasvorschriften entspricht (Risikoerhöhungsschaden), ist ein erstattungsfähiger Schaden (BGH Urteil vom 26.06.2023 – VIa ZR 335/21 . Ähnlich ist es mit der Risikoerhöhung, die Betroffene wegen nachlässigen Datenschutzmaßnahmen der verantwortlichen Unternehmen und ihrer Serviceprovider mit jedem Datenleak erleiden, denn eine natürliche Person hat als Betroffener im Hinblick auf die informationelle Selbstbestimmung und Recht auf Privatsphäre keinen Einblick auf die internen Prozesse und muss sich auf das verantwortliche Unternehmen im Hinblick auf die Rechtskonformität und Sicherheit der Produkte und Services verlassen können. Wenn diese Sicherheit pflichtwidrig vorgetäuscht wird, ist der Kontrollverlust über die legitime Verarbeitung der personenbezogenen Daten durch einen unerlaubten Datenabfluss daher ein erstattungspflichtiger Schaden (EUGH C-356/22 vom 14.12.2023 – Gemeinde Ummendorf). Nicht jeder Datenschutzverstoß führt automatisch zu einem immateriellen Schaden, jedoch ist ein informationelle Kontrollverlust über die Offenlegung privater Daten an unbefugte Dritte infolge eines rechtswidrig ermöglichten Datenleaks ein erheblicher immaterieller informationeller Schaden.

Künftig stärkere Schadenersatzhaftung von Unternehmen nach Datenpannen, wenn Sicherheitslücken verschuldet sind

Ich gehe davon aus, dass sich der Rechtsschutz für Betroffene von Datenpannen in Zukunft insgesamt verbessern wird. Denn die neuen EUGH-Urteile werden dazu führen, dass Unternehmen künftig stärker für Datenpannen haften müssen. Allerdings haben einige Oberlandesgerichte wie Stuttgart, Hamm und Köln in den Parallelverfahren des Datenleaks bei Facebook – Datascreeping gezeigt, dass immer wieder die Anforderungen an die Annahme des Schadens verneint wird und Schadenersatzklagen unter Verweis darauf auch abgewiesen werden. Diese Sicht wird aber wohl kaum mit den klaren Aussagen des EUGH (C-300/21) zum Schaden, der keine Erheblichkeit nach der DSGVO voraussetzt und auch schon bei begründeter Angst Betroffener vor Datenmißbrauch begründet sein.

Ansprüche nicht verjährt

Die Ansprüche sind im Fall von Mastercard auch noch nicht verjährt, weil entgegen der Pflicht, die Serviceprovider klar identifizierbar bei einem Auskunftsverlangen nach Art. 15 DSGVO zu benennen, verheimlicht hat. Ohne Kenntnis der den Anspruch begründenden Umständen, wozu auch die Identität aller Gesamtschuldner gehört, beginnt nach dem Bürgerlichen Gesetzbuch (§ 199 BGB) die Verjährungsfrist nicht zu laufen. Nach Artikel 82 Abs. 3 DSGVO als Gesamtschuldner auf Schadenersatz in Anspruch genommen werden können.

Fazit:

Die Aussichten von Betroffenen von Datenpannen, Schadenersatz zu erhalten, haben sich durch die jüngsten Urteile des EUGH deutlich verbessert. Unternehmen müssen künftig stärker für Datenpannen haften, wenn sie nicht Vorsorge getroffen haben und keine ausreichenden Datenschutz-Maßnahmen nachweisen können. Der Schadenersatz kann je nach Einzelfall mehrere 1.000 Euro betragen zzgl. des Werts der entgangenen Coins. Auch die korrekte Bearbeitung der Auskunftsersuchen ist wichtig. Dies hat auch Auswirkungen auf die Verjährung der Ansprüche.

Kontaktformular

mit Option Dateien hochzuladen und kostenlose Ersteinschätzung mit Vorschlag zu erhalten.

z.B. Korrespondenz, Inkassoschreiben trotz Widerspruch gegen Forderung, Mahnung, Abmahnung, Vertrag, Screenshot gegnerische Webseite, Klageschrift, Mahnbescheid
Ziehe Dateien hier her oder
Akzeptierte Dateitypen: jpg, png, pdf, docx, odt, xlsx, xls, txt, Max. Dateigröße: 5 MB, Max. Dateien: 10.
    Meine Datenschutzinformationen für diesen Blog.
    Sind Sie rechtsschutzversichert?
    Dieses Feld dient zur Validierung und sollte nicht verändert werden.

     

    Kategorien
    Blogroll Datenschutzrecht

    Bank muss 1.000 Euro Schadenersatz + Anwaltskosten an Bewerber wegen Datenschutzverstoß zahlen

    Zu diesem Beitrag gibt es ein update : Das OLG Frankfurt hat das Urteil nämlich teilweise wieder aufgehoben. Dazu siehe hier.
    ——–
    Wie das Landgericht Darmstadt mit Urteil vom 26.05.2020, Az.: 13 O 244/19 entschied, muss eine Bank wegen Datenschutzverstößen nach versehentlicher Versendung von beruflichen personenbezogenen Daten mit Gehaltsverhandlungen im Rahmen eines Bewerbungsverfahrens via XING an den falschen Empfänger und falschem Umgang mit dieser Datenpanne einen immateriellen Schadenersatz von 1.000 Euro nach Art. 82 Abs. 1 DSGVO zahlen.
    Der betroffene Bewerber erfuhr hiervon, weil der unbeteiligte Dritte, der die Nachricht versehentlich erhielt, die Person des Bewerbers identifizieren konnte und ihn benachrichtigt hat. Obwohl der betroffene Bewerber die Bank hierauf umgehend noch am gleichen Tag des 23.10. ansprach, folgte eine Benachrichtigung des Dritten, dass er die Daten nicht weiter verarbeiten solle erst im Dezember des gleichen Jahres. Ferner habe man entgegen Art. 34 DSGVO den Bewerber nicht unverzüglich benachrichtigt, sondern umgekehrt musste er von Drtitter Seite davon erfahren.
    Das Landgericht Darmstadt stellt in dem Urteil klar, dass nicht erst, wenn tatsächlich berufliche Nachteile verursacht werden und zu materiellen Einbußen führen, ein immaterieller Schaden verursacht wird, sondern bereits mit dem Kontrollverlust wegen Weiterleitung privater beruflicher Informationen an Dritte und der Befürchtung, dass hierdurch Nachteile entstehen, ein ersatzfähiger Schaden nach Art. 82 Abs.1 DSGVO begründet ist. Das Recht auf Informationelle Selbstbestimmung soll auch den Kontrollverlust bei illegitimer Verbreitung von persönlichen Daten schützen. Ein solcher Schaden ist daher nicht erst dann entstanden, wenn etwa tatsächlich der bisherige Arbeitgeber davon erfährt, dass ein Mitarbeiter sich anderweitig bewirbt, sondern auch dann, wenn solche Schäden aufgrund des Kontrollverlusts zu befürchten sind. Der Empfänger arbeitete in der gleichen Branche innerhalb der Unternehmensgruppe des bisherigen Arbeitgebers, daher war diese Befürchtung im Streitfall auch nicht abwegig. Wegen des hohen Stellenwerts der in Art. 8 der Grundrechtecharta geschützten informationellen Selbstbestimmung ist bereits der Kontrollverlust bei Weiterverbreitung privater beruflicher Informationen an unbeteiligte Dritte ein Schaden entstanden und nicht erst, wenn der Betroffene tatsächlich nachweisbare materielle Vermögenseinbussen erleidet.
    Gleichfalls zu erstatten hatte die beklagte Bank auch die Kosten der vorgerichtlichen anwaltlichen Abmahnung, wobei die Beklagte nur eine auf Verbreiten der konkreten Nachricht bezogene strafbewehrte Unterlassungserklärung abgab. Auch das war nach Ansicht des Landgerichts Darmstadt zu eng, daher wurde mangels Ausräumung der Wiederholungsgefahr die beklagte Bank auf Antrag des Klägers auch auf Unterlassung verurteilt, „…es künftig zu unterlassen, personenbezogene Daten über den Kläger, die im Zusammenhang mit seiner Bewerbung bei der Beklagten stehen, zu verarbeiten / verarbeiten zu lassen, wenn dies geschieht wie in der Nachricht über das Portal XING an Herrn W am 23. Oktober 2018…“
    Quelle zum Urteil und Volltext via Media Kanzlei – https://www.media-kanzlei.com/news/blog-artikel/media-kanzlei-erwirkt-erfolgreich-schmerzensgeld-nach-art-82-ds-gvo/?s=03