Das münchener Fintech-Unternehmen Scalable musste im Oktober 2020 ein Datenleck melden. Im Dezember 2021 gestand das Landgericht München einem Kläger einen Schadensersatz wegen immateriellen Schadens zu. Die eingelegte Berufung nahm Scalable nun zurück. Was bedeutet das in Zukunft für datenschutzrechtliche Schadensersatzklagen?

Datenleck bei Scalable

Scalable Capital ist ein Vermögensverwalter mit Sitz in München. Vor kurzem hat das Unternehmen die Marke von zehn Milliarden Euro an Kundengeldern überschritten. Das Fintech-Unternehmen legte damit ein rasantes Wachstum hin.

Im Oktober 2020 meldete das erfolgreiche Unternehmen allerdings einen Datenschutzvorfall: Unbefugte hatten sich Zugang zu personenbezogenen Daten von 33.000 aktuellen und früheren Kunden verschafft. Es ging dabei um Daten wie Steuer- und Depotinformationen, sowie Adressen. Dies war durch eine Sicherheitslücke in der Cloud-Umgebung möglich geworden. Offenbar ist es aber noch nicht zum Missbrauch dieser Daten gekommen.

Urteil des Landgerichts München

Vor dem Landgericht München erstritt sich im Dezember 2021 ein Kläger einen Schadensersatz nach der DSGVO wegen immateriellen Schadens. Er war früherer Kunde von Scalable und vom Datenleck betroffen. Zu den entwendeten Daten gehörten: Vor- und Nachname, Anrede, Anschrift, E-Mail-Adresse, Handynummer, Geburtsdatum, -ort und -land, Staatsangehörigkeit, Familienstand, steuerliche Ansässigkeit und Steuer-ID, IBAN, Ausweiskopie, Portraitfoto, welches im Post-Ident-Verfahren angefertigt wurde.

Aufgrund strafrechtlicher Ermittlungen im Vorgang zum zivilrechtlichen Verfahren kam heraus, dass die Täter mit den gestohlenen Daten versucht hatten, Kredite zu erlangen und die Daten im Darknet angeboten haben.

Das Landgericht München urteilte zugunsten des Klägers und sprach ihm einen Schadensersatz in Höhe von 2.500 € zu. Der Schadensersatz wurde auf Art. 82 DSGVO gestützt. Scalable habe gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) verstoßen. Dabei spiele es keine Rolle, ob dem Verantwortlichen etwaige Sicherheitsmängel von Drittunternehmen, deren Dienste in Anspruch genommen wurden, zugerechnet werden können. Vielmehr liege der Vorwurf darin, dass Scalable als Verantwortlicher selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen habe, um den streitgegenständlichen Datenverlust zu verhindern.

Bedeutung des Urteils

Nachdem Scalable die Berufung zum Oberlandesgericht München wie nun bekannt wurde schon im Juli dieses Jahres zurückgenommen hatte, handelt es sich bei dem Urteil um das erste rechtskräftige Schadensersatz-Urteil wegen eines Datenlecks. Auch wenn es keine Bindungswirkung für andere Gerichte hat, setzt es doch ein deutliches Signal.

Die Zurückhaltung deutscher Gerichte bei dem Zugeständnis eines Schadensersatzes wegen immateriellen Schadens könnte damit deutlich zurückgehen.

Unser Team an Experten bietet Beratung und Dienstleistungen rund um das Thema Datenschutz an. Kontaktieren Sie uns gerne!

DSB buchen
de_DEDeutsch