Der Broker Scalable Capital muss wegen einer Datenschutzverletzung an einen Kunden einen Betrag von 1.200,- EUR nach Art. 82 DSGVO bezahlen (LG Köln, Urt. v. 18.05.2022 - Az.: 28 O 328/21).
Im Oktober 2020 hatte der bekannte Neobroker Scalable Capital seinen Kunden mitgeteilt, dass es zu einem Datenschutzverstoß gekommen sei und unbekannte Dritte bestimmte Informationen der Kunden erbeutet hätten (u.a. Ausweisdaten, Name und Adresse, Wertpapierabrechnungen, steuerliche Daten).
Bereits Ende letzten Jahres hatte LG München I einem Kunden einen Schadensersatz iHv. 2.500,- EUR zugesprochen, vgl. unsere Kanzlei-News v. 22.12.2022.
Nun hatte ein weiterer Kunde geklagt und bekam vor dem LG Köln ebenfalls Recht.
Wie schon das LG München I bejahte nun auch die Kölner Robenträger eine Verletzung der Sorgfaltspflichten nach Art. 32 DSGVO. Dadurch, dass Scalable Capital auch Jahre nach Kündigung eines ursprünglichen Subdienstleisters die Zugänge nicht geändert habe, sei gegen die notwendige Sorgfaltspflicht verstoßen:
"Die Kammer nimmt einen Verstoß gegen diese Vorgaben aufgrund des zwischen den Parteien unstreitigen Umstandes an, dass die der Fa. (...). zur Verfügung gestellten Zugangsdaten nach Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden.
Damit schuf die Beklagte das Risiko, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten, sondern auch durch von Seiten von Mitarbeitern der (...) vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren.
Die Beklagte kann sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens (...) dauerhaft und vollständig gelöscht werden würden (so auch in einem Parallelfall LG München I, Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36).
Jedenfalls wäre eine Überprüfung der Löschung angezeigt gewesen, die die Beklagte aber ebenfalls nicht vorträgt."
Das LG Köln bewertete die Höhe des Schadensersatz bei "nur" 1.200,- EUR (das LG München I hatte 2.500,- EUR angenommen):
"Hier war bei der Bemessung der Höhe zu berücksichtigen, dass ein Missbrauch der Daten zu Lasten des Klägers bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist.
Wie vom LG München I a.a.O. zutreffend herausgearbeitet, muss allerdings auch die Absicht des EU-Verordnungsgebers berücksichtigt werden, mit Hilfe des Schadensersatzanspruchs eine abschreckende Wirkung zu erzielen.
Zu Gunsten der Beklagten fällt allerdings – wie in der mündlichen Verhandlung bereits ausgeführt, ins Gewicht, dass der ihr zuzurechnende Datenschutzverstoß nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkten. Denn hinzu kam ein weiterer mindestens fahrlässiger Verstoß bei der Fa. (...) sowie nicht zuletzt das vorsätzliche rechtswidrige Vorgehen der Hacker selbst.
Zu berücksichtigen ist auch, dass die Beklagte dem Kläger vorübergehend das „meine Schufa Plus“ Angebot finanzierte. Unter Abwägung der maßgeblichen Gesichtspunkte erachtet die Kammer damit eine Schadensersatzzahlung in der tenorierten Höhe für angemessen."
Die Entscheidung ist nicht rechtskräftig, sondern kann noch mit dem Rechtsmittel der Berufung angegriffen werden.