Das Landgericht München I hat in seinem Urteil vom 09.12.2021 unter dem Az. 31 O 16606/20

(nicht rechtskräftig) entschieden, dass alle künftigen materiellen Schäden, die dem Kläger (Verbraucher) durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten (ein relativ großes Unternehmen, welches eine Vielzahl personenbezogener Daten verwaltet) entstehen oder bereits entstanden sind, von der Beklagten zu ersetzen sind.

Des Weiteren wurde die Beklagte verurteilt, an den Kläger einen immateriellen Schadenersatz in Höhe von 2.500,00 Euro nebst Zinsen in Höhe von 5 %-Punkten über dem Basiszinssatz zu bezahlen.

Das Gericht vertritt zugunsten der Geschädigten zudem die Auffassung, dass jede Person, der wegen eines Verstoßes gegen die Verordnung gem. Art. 82 Abs. 1 DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen das Unternehmen als Datenverantwortlicher hat.

Im Hinblick auf die Frage des Datenschutzverstoßes verlangt Art. 32 DSGVO (Sicherheit der Verarbeitung) geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Art. 5 Abs. 1 Lit. f. DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten) aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003 (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) entnommen werden.

Insbesondere nennt der Erwägungsgrund 39 als geforderte Maßnahmen, dass gewährleistet ist, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Die Anlage zu § 9 BDSG 2003 listete bereits technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 Lit. f. DSGVO eingesetzt werden können. Ferner hat die Beklagte auch die Kosten des Rechtsstreits zu tragen. Es kann dahingestellt bleiben, ob der Beklagten etwaige Sicherheitsmängel bei dem Drittunternehmen zugerechnet werden können. Denn die Beklagte hat selbst keine ausreichenden organisatorischen Maßnahmen vorgenommen, um den streitgegenständlichen Datenverlust zu verhindern (vgl. auch Art. 82 Abs. 4 DSGVO).

Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadenersatz für einen erlittenen Schaden erhalten“. Im Vordergrund steht hier eine abschreckende Wirkung des Schadenersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedsstaaten angehalten, Verstöße wirksam zu sanktionieren. Denn nur so wäre eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet (Wybitul/Haß/Albrecht: NJW 2018, 113, beck-online; vgl. auch Korch, NJW 2021, 978 – „Aus Erwägungsgrund 146 S. 3 ergibt sich, dass der Begriff des Schadens weit zu verstehen ist“).

Für die Bemessung der Höhe des Schadenersatzes können die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, wie etwa die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten (vgl. Quaas BeckOK Datenschutzrecht, Wolff/Brink 37. Edition Stand: 01.08.2021 Rn. 31), wobei die Ermittlung im Übrigen dem Gericht nach § 287 ZPO obliegt (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31).

Das LG Stuttgart folgte in der Verhandlung vom 16.02.2022 unter dem Az. 21 O 30/21 der Auffassung des LG München I und kündigte insoweit vorläufig an, dass es die Rechtsauffassung des LG München I – was die Haftung der Scalable Capital GmbH betrifft – grundsätzlich teilt. Herr Rechtsanwalt Johannes Haun vertritt hierbei den Geschädigten.

Haben Sie Fragen dazu? Wenden Sie sich an eine auf das Datenschutzrecht spezialisierte Kanzlei, um Ihre Möglichkeiten prüfen zu lassen.

Gerne unterstützt Sie die Rechtsanwaltskanzlei HOS bei den nun gebotenen rechtlichen Schritten – der Erstkontakt ist kostenfrei und unverbindlich.

Als Ansprechpartner für Fragen rund um das Thema Datenschutzrechte stehen Ihnen folgende Rechtsanwälte zur Verfügung:

• Rechtsanwalt Johannes Haun
• Rechtsanwältin Juliane Meyer

Weitere Informationen zum Datenschutz finden Sie hier.