LG München I: 2.500,- EUR DSGVO-Schadensersatz muss Broker Scalable Capital an Kunden zahlen

22.12.2021

Der Broker Scalable Capital  muss wegen einer Datenschutzverletzung an einen Kunden einen Betrag von 2.500,- EUR nach Art. 82 DSGVO bezahlen (LG München, Urt. v. 09.12.2021 - Az.: 31 O 16606/20).

Im Oktober 2020 hatte der bekannte Neobroker Scalable Capital  seinen Kunden mitgeteilt, dass  es zu einem Datenschutzverstoß gekommen sei und unbekannte Dritte bestimmte Informationen der Kunden erbeutet hätten (u.a. Ausweisdaten, Name und Adresse, Wertpapierabrechnungen, steuerliche Daten).

Die Anzahl der betroffenen Kunden wird auf mehr als 30.000 geschätzt.

Einer der betroffenen Kunden verklagte nun das Finanzunternehmen auf DSGVO-Schadensersatz und bekam vor dem LG München Recht.

Das Gericht sprach dem Betroffenen einen Schadensersatz von 2.500,- EUR zu.

Es bejahte klar eine Verletzung der Sorgfaltspflichten nach Art. 32 DSGVO, der eine sichere Datenverarbeitung vorschreibt.

Scalable Capital  hatte mit einem IT-Dienstleister in der Vergangenheit zusammengearbeitet, den Vertrag jedoch 2015 gekündigt. Die betreffenden Passwörter, mit denen der IT-Dienstleister Zugriff auf die Systeme von Scalable Capital  nehmen konnte, änderte der Broker jedoch nicht:

"So ist unstreitig, dass die Beklagte die Zugangsdaten für das Unternehmen (...) nach Beendigung der Geschäftsbeziehung nicht geändert hat.

Darauf, wie die Beklagte vorträgt, dass sie davon ausgehen musste, dass die Zugangsinformationen vollständig und dauerhaft seitens (...) gelöscht werden, durfte sie sich im Hinblick auf den großen Umfang (Zugriff auf das vollständige IT-System) sowie aufgrund der Qualität und Sensibilität der gespeicherten Daten nicht verlassen.

Da die Beklagte die Löschung offensichtlich nicht überprüft hat, war es fahrlässig gewesen, die Zugangsdaten seit Beendigung der Geschäftsbeziehung im Jahre 2015 bis zum Zugriff auf die Kundendaten der Beklagten im Jahre 2020 mehrere Jahre lang unverändert zu lassen. Die Beklagte kann sich auch nicht durch die umfangreichen Ausführungen über die technischen und organisatorischen Maßnahmen (TOMs) insoweit entlasten. Unerheblich wäre hierbei im Übrigen, wenn - wie die Beklagte vorträgt, das Dokumentarchiv im Jahr 2015 noch keine Kundendaten enthalten haben sollte. Denn jedenfalls sind diese dann in der Folgezeit in das Archiv aufgenommen worden."

Hinsichtlich der Höhe des Schadensersatzes führt das Gericht aus:

"Im vorliegenden Fall muss aufgrund des Umfanges und Art der entwendeten Daten des Klägers ein solcher Identitätsdiebstahl angenommen werden, welcher einen Anspruch auf Schadensersatz begründet. (...)

Allerdings muss bei der Bemessung der Höhe des immateriellen Schadensersatzes berücksichtigt werden, dass die streitgegenständlichen Daten offensichtlich bislang noch nicht, jedenfalls nicht zu Lasten des Klägers missbraucht worden sind und von daher allenfalls eine mehr oder weniger hohe Gefährdung angenommen werden kann. Berücksichtigt werden muss jedoch auch - wie oben angesprochen - die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes.

Unter Abwägung dieser gesamten Gesichtspunkte erachtet das Gericht einen (immateriellen) Schadensersatz in Höhe von 2.500, - Euro als angemessen."

Die Entscheidung ist nicht rechtskräftig, sondern kann noch mit dem Rechtsmittel der Berufung angegriffen werden.