DSGVO-Verstoß durch Mängel in Supply-Chain

Beim Landgericht Köln, 28 O 328/21, ging es um einen recht klassischen Fall: Bei einem Unternehmen fand ein unbefugter Zugriff auf die Daten (nicht nur) eines Nutzers statt; dieser Zugriff war den Hackern mittels Zugangsdaten möglich, die infolge eines Cyber-Angriffs auf eine andere Firma („CS“) erlangt worden waren.

Was ist geschehen?

Bei CS handelt es sich um ein weltweit tätiges Unternehmen, das „Software as a Service“-Lösungen für Unternehmen unterschiedlicher Größen und Branchen bereit gestellt hat und mit dem über einige Jahre ein Vertragsverhältnis bestanden hatte. Die notwendigen Zugangsdaten wurden CS im Rahmen des Vertragsverhältnisses zugänglich gemacht. Aber, ein Lapsus kommt selten allein: Nach dem Vertragsende zwischen Unternehmen und CS fand keine Abänderung der Zugangsdaten statt; nicht einmal eine Überprüfung einer Löschung der Daten bei CS erfolgte. So führte dann der Angriff auf CS, obwohl schon gar kein Vertragsverhältnis mehr bestanden hat, zu einem erfolgreichen Zugriff beim Unternehmen. Und zu einem Datenleck.

Mängel in der Auftragsverarbeitung

Zwischen CS und dem Unternehmen bestand rechtlich eine Auftragsverarbeitung. Dadurch, dass die zur Verfügung gestellten Zugangsdaten nach Ende der Vertragsbeziehung nicht geändert wurden, verstieß das Unternehmen gegen seine Verpflichtung aus Art. 32 DSGVO sowie aus Art. 5 DSGVO. Hier gilt, dass entsprechend Art. 32 DSGVO der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung

  • des Stands der Technik,
  • der Implementierungskosten und
  • der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen haben, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zudem ist mit Art. 5 Abs. 1 lit. f) DSGVO dafür zu sorgen, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Das Landgericht sah einen Verstoß gegen diese Vorgaben aufgrund des im Verfahren unstreitigen Umstandes an, dass die zur Verfügung gestellten Zugangsdaten nach Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden. Dies schuf das Risiko, dass die Daten der Betroffenen nicht nur im Falle von durch das Unternehmen selbst zu verantwortender Unzulänglichkeiten, sondern auch durch vonseiten von Mitarbeitern bei CS vorsätzlich oder fahrlässig ermöglichte Zugriffe einem Missbrauch ausgesetzt waren.

Auf keinen Fall hilft es dabei, wenn das Unternehmen darauf verweisen wollte, es hätte davon ausgehen dürfen, dass die Zugangsdaten seitens CS dauerhaft und vollständig gelöscht werden würden. Das Landgericht verweist hier zu Recht darauf, dass in jedem Fall eine Überprüfung der Löschung angezeigt gewesen wäre – jede andere Sicht würde die Funktion der Auftragsverarbeitung enorm verkennen.

Folge: Schadensersatz

Dieses durchaus erhebliche Versäumnis war zumindest mitursächlich für den dem betroffenen Nutzer entstandenen Schaden:

Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Nach Erwägungsgrund 146 DS-GVO muss der Begriff des Schadens zudem „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“ und die „betroffenen Personen sollen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten“.

Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. Dieser Gedanke wird auch aus Art. 4 III EUV abgeleitet. Danach sind die Mitgliedstaaten angehalten, Verstöße wirksam zu sanktionieren, weil nur so eine effektive Durchsetzung des EU-Rechts – und damit auch der DS-GVO – gewährleistet ist (LG München I a.a.O. Rn. 41 mit w.N.).

Höhe des Schadensersatzes

Das Landgericht führt aus, welche Kriterien bei der Bemessung der Höhe des Schadensersatzes zu berücksichtigen sind, Hierbei benannt das Landgericht Köln als bestimmende Kriterien:

  • dass ein Missbrauch der Daten zu Lasten des Kunden bislang nicht festgestellt werden musste, und es daher einstweilen bei einer Gefährdung geblieben ist;
  • ergänzend muss die Absicht des EU-Verordnungsgebers berücksichtigt werden, mit Hilfe des Schadensersatzanspruchs eine abschreckende Wirkung zu erzielen;
  • Zugunsten des Unternehmens fiel ins Gewicht, dass der dem Unternehmen zuzurechnende Datenschutzverstoß nur eine von mehreren Ursachen war, die erst im Zusammenwirken den Schadenseintritt bewirkten;
  • insoweit war zuberücksichtigen, dass ein mindestens fahrlässiger Verstoß bei der CS sowie nicht zuletzt ein vorsätzliches rechtswidriges Vorgehen der Hacker selbst eine Rolle gespielt haben;
  • auch die unterstützende Handlung des Unternehmens im Nachgang musste einfließen (es wurde vorübergehend  ein „meine Schufa Plus“ Angebot finanziert um eine Kontrolle hinsichtlich des Datenabflusses zu ermöglichen).

In der Summe verblieb es bei 1200 Euro Schadensersatz.

Teures Grundrisiko

Gut 1000 Euro sind ein Betrag, der sich verschmerzen lässt für ein großes Unternehmen – vor allem, wenn man die Relation im Blick hält zu den IT-Kosten nach einem solchen Vorfall. Aber die Tücke liegt im Detail: Solche Angriffe wird man (erfolgreich) regelmäßig dort erwarten dürfen, wo ohnehin massenhaft Kundendaten verarbeitet werden. Wenn ein Angriff auf einen solchen Anbieter wie CS erfolgreich ist, geht es im Regelfall dann um zahlreiche große Unternehmen mit jeweils tausenden Kunden. Es liegt damit in der Natur solcher Angriffe, dass eine Vielzahl betroffener Nutzer vorliegen wird – die man dann mit gut 1000 Euro als Schadenssummer multiplizieren muss. Selbst wenn man eine Cyberversicherung hat, merkt man hier schnell, dass die auf den ersten Blick hohen Versicherungssummen gar nicht zwingend ein Worst-Case-Szenario, in dem ein Großteil der User klagt, finanziell abdeckt.

Die Lösung liegt in einer guten IT-Compliance: In der Praxis kleinerer und mittlerer Unternehmen werden allzu oft, allzu blind als Reflex, Vereinbarungen über eine Auftragsverarbeitung unterschrieben. Damit diese dann in Schubladen verschwinden – und wenn Verträge enden, achtet man hauptsächlich auf die ordentliche buchhalterische Abwicklung. Dabei muss der Fokus vorwiegend auf sauberer Beendigung sämtlicher Datenströme liegen. Der vorliegende Fall bei einem großen Zulieferer sowie einem finanzstarken Kunden macht deutlich, dass dies keineswegs so selbstverständlich ist, wie es klingt.

Fachanwalt für IT-Recht Jens Ferner