Beim Wechsel des IT-Dienstleisters müssen Unternehmen die Zugangsdaten zum eigenen IT-System ändern. Wer das nicht umsetzt, der schuldet seinen Kunden Schadensersatz, wenn es zu illegalen Zugriffen kommt. Das Landgericht Köln sieht mit Urteil vom 18. Mai 2022 eine Verpflichtung zum Austausch der IT-Zugangsdaten. Ein Finanzdienstleister hatte jahrelang auf den Austausch der Zugangsdaten verzichtet und dadurch gegen seine Pflichten gemäß der Datenschutzgrundverordnung (DSGVO) verstoßen. Er muss einem Verbraucher 1200 Euro Schmerzensgeld zahlen (Az.: 38 O 328/21). Gerichte sprechen Klägern mittlerweile hohe Schadensersatzansprüche aus DSGVO zu. Verbraucher sollten sich ihrer Rechte beim Datenschutz bewusst sein. Die Verbraucherkanzlei Stoll & Sauer bietet von Verstößen betroffenen Verbrauchern im Online-Check eine kostenlose Erstberatung an. Dr. Stoll & Sauer gehört zu den führenden Kanzleien im Verbraucherschutz. Mehr Infos zum Thema Datenleck und Datenschutz gibt es auf unserer Website.
Hohes Haftungsrisiko: 1200 Euro Schadensersatz pro Kunde
Beim Datenschutz ist Sorgfalt wichtig, wie der vorliegende Fall deutlich zeigt. Bei einem Dienstleisterwechsel sollten die Zugangsdaten zum IT-System erneuert werden, sonst wird es teuer, egal, ob es zu einem Datenmissbrauch gekommen ist oder nicht. Die Kanzlei Dr. Stoll & Sauer fasst die Eckdaten des Verfahrens vor dem Landgericht Köln zusammen:
Hohes Haftungsrisiko: 1200 Euro Schadensersatz pro Kunde
Beim Datenschutz ist Sorgfalt wichtig, wie der vorliegende Fall deutlich zeigt. Bei einem Dienstleisterwechsel sollten die Zugangsdaten zum IT-System erneuert werden, sonst wird es teuer, egal, ob es zu einem Datenmissbrauch gekommen ist oder nicht. Die Kanzlei Dr. Stoll & Sauer fasst die Eckdaten des Verfahrens vor dem Landgericht Köln zusammen:
- Ein Finanzdienstleister informierte einen Verbraucher, dass es zu einem unbefugten Zugriff auf sein Kundenkonto und die dort hinterlegten personenbezogenen Daten gekommen war. Im Detail ging es um Kontaktdaten und Daten, die das Wertpapierdepot betrafen. Der Finanzdienstleister hatte früher mit einem Software-Unternehmen zusammengearbeitet, das Opfer eines Hacker-Angriffs geworden war. Da der Finanzdienstleister nach dem Ende der Zusammenarbeit mit der Software-Firma nie seine Zugangsdaten zum IT-System geändert hatte und diese noch bei der Software-Firma hinterlegt waren, war es für die Hacker ein Leichtes, Zugang zu den Systemen des Finanzdienstleisters zu erlangen. Der Verbraucher verklagte darauf hin den Finanzdienstleister wegen Verstoßes gegen die DSGVO und verlangte Schadensersatz.
- Das Landgericht Köln entschied, dass der Finanzdienstleister verpflichtet gewesen wäre, nach Beendigung der Zusammenarbeit mit dem Software-Unternehmen die Zugangsdaten zum IT-System zu ändern. Die unterbliebene Änderung der Zugangsdaten habe ein Risiko geschaffen, dass Kundendaten dem Zugriff durch die Mitarbeite des Software-Unternehmens ausgesetzt waren. Der Finanzdienstleister könne sich auch nicht darauf berufen, dass das Software-Unternehmen die Zugangsdaten hätte löschen können.
- Dem Verbraucher steht Schadensersatz aus Artikel 82 DSVGO zu. Das Versäumnis des Finanzdienstleisters ist mitursächlich für den unberechtigten Zugriff auf die Nutzerdaten.
- Das Gericht billigte einen Schadensersatz in Höhe von 1200 Euro zu. Das ist insofern bemerkenswert, weil es zu keinem Datenmissbrauch gekommen war. Die tatsächliche Schadenssummer für das Unternehmen kann sich erheblich erhöhen, wenn sich noch andere Betroffene klagen. Das Urteil bezieht sich auf einen Einzelfall. Vom Hackerangriff sollen 33.000 Kunden betroffen gewesen sein.
