Wir berichteten auf unserem Blog schon öfters über Hacker, die personenbezogene Daten gestohlen haben. Als betroffener Kunde können Sie vom Unternehmen einen Anspruch auf Schmerzensgeld haben, wenn Sie das Datenleck nachweisen. 

Wir fassen für Sie das Wichtigste auf unserem Blog zusammen! 

Sicherheitslücken bei vielen Unternehmen 

In Unternehmen werden immer öfter Sicherheitslücken in Bezug auf personenbezogene Daten bekannt. So können Kundendaten schnell zur Beute von Hackern werden. Mit den Daten handeln Hacker im Darknet oder begehen damit einen Identitätsdiebstahl. 

Haftung des Unternehmens bei gestohlenen Daten

Cyberangriffe stellen für das Unternehmen einen sehr großen Schaden dar. Doch wie sieht es für das Unternehmen aus, wenn es für die erlittenen Schäden zB. gegenüber Kunden und Lieferanten in Anspruch genommen wird? Es kann zu Datenschutzverletzungen kommen, die dem Unternehmen wegen ungenügenden Schutzes Ihres Cyberraums auch vorwerfbar sein könnten. Lieferanten könnten auch Lieferausfälle gelten machen. 

Das Unternehmen könnten gem. §§ 280 Abs. 1 und 2, 286 BGB in Anspruch genommen werden. Vertragspartner könnten auch einen Anspruch gem. § 280 BGB wegen Verletzung von vertraglich festgelegten Vertraulichkeitspflichten geltend machen. Natürlich könnten Unternehmen gem. § 280 Abs.1 S. 2 BGB einen Entlastungsbeweis erbringen, dass sie evtl. Sicherheitspflichten eingehalten haben, jedoch wird es bezüglich Ansprüchen von Kunden und Lieferanten nicht ausreichen. Auch aufgrund der Verschärfung des Datenschutzrechts durch die DSGVO besteht gem. Art. 82 DSGVO eine umfassende Haftung des Unternehmens! Demnach haftet jeder „an einer Verarbeitung Verantwortliche“ für jeden materiellen und immateriellen Schaden der durch eine nicht der Verordnung entsprechende Verarbeitung personenbezogener Daten verursacht wurde. 

Kausalität zwischen Verstoß und Schaden nachweisen

Der Anspruch aus Art. 82 DSGVO setzt außerdem voraus, dass ein Verstoß gegen die DSGVO für den Schaden des Betroffenen ursächlich geworden ist. Die Norm macht dabei vom Kausalitätserfordernis keine Ausnahme, sondern setzt als selbstverständlich voraus, dass es sich um Schäden handeln muss, die auf eine DSGVO-widrige Verarbeitung von personenbezogenen Daten zurückzuführen sind. 

Daran ändert die Zielsetzung der Vorschrift der betroffenen Person einen „vollständigen und wirksamen Schadenersatz“ gewährleisten zu wollen, nichts. Damit ist kein Aufweichen des Kausalitätserfordernisses, auch keine Beweiserleichterung gemeint.

Rechtstipp: Es genügt also nicht, dass ein etwaiger Schaden auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen ist. Das ergibt sich schon klar aus dem Wortlaut des Art. 82. Abs. 1 DSGVO, wonach der Schaden „wegen“ eines Verstoßes eingetreten sein muss. 

Schadensersatz einklagen lohnt sich

Dass es sich lohnt einen Schadensersatz einzuklagen, zeigen viele Urteile. So sprach das Landgericht Stuttgart einem Kläger 400 Euro Schadenersatz zu (Urt. v. 03.08.2023, Az. 54 O 8/23), das Landgericht Chemnitz einem Kläger 500 Euro Schadensersatz (Urt. v. 28.07.2023, Az. 1 O 878/22) oder das Landgericht Ravensburg einem Kläger ebenfalls 500 Euro Schadensersatz zu (Urt. v. 26.07.2023, Az. 5 O 100/22). 

Wichtig ist, dass der Kläger den Nachweis erbringt, inwieweit das Unternehmen seiner Verpflichtung zur hinreichenden Verschlüsselung der Kundendaten nach Art. 82 Abs. 1 DSGVO nicht nachgekommen ist. Hier reicht die bloße Vermutung es auf das Datenleck zurückzuführen nicht aus. Das bedeutet, dass der Kläger eine aufwändige Recherche betreiben muss. Hier kann sich der Betroffene an die Datenschutzaufsichtsbehörde wenden, um der Beweislast nachzukommen. 

Fazit

Durch die immer weiter voranschreitende Digitalisierung rückt auch immer mehr das Risiko eines Cyberangriffs in die Sphäre der Unternehmen. Bei so vielen Angriffen auf die personenbezogenen Daten ist es kaum möglich, dass dem Unternehmen keine Cyberattacke widerfahren wird. Daher stellen Sie sicher, dass Sie Ihren Cyberraum dementsprechend schützen und nehmen im Fall einer Attacke Kontakt mit einem IT-Spezialisten auf. Für die rechtliche Vertretung stehen wir Ihnen dann schnell und unkompliziert zur Seite und helfen Ihnen Ansprüche gegen Sie abzuwenden, aber auch Ansprüche für Sie geltend zu machen! Melden Sie sich bei uns! 

Für Kunden gilt, dass sie im Falle von Datendiebstahl herausbekommen, inwieweit das Unternehmen die Kundendaten verschlüsselt und nach einem Wechsel eines Dienstleisters die Zugangsdaten geändert hat. Dafür sollten sie sich bei der Datenschutzaufsichtsbehörde des Bundeslandes beschweren, in dem das Unternehmen seinen Sitz hat. Lassen Sie sich hierzu anwaltlich beraten und die aufwändige Recherche und Beweissicherung übernehmen.