Das LG München I hatte sich mit Urteil vom 9.12.2021 – 31 O 16606/20 damit auseinanderzusetzen, ob und inwieweit einem Kunden eines Unternehmens ein Schadenersatz nach Art. 82 DSGVO zusteht, wenn das Unternehmen den IT-Dienstleister wechselt und dessen Zugangsdaten nach Vertragende nicht löscht.
Im vorliegenden Fall wurden aus dem Dokumentenarchiv eines Neubrokers Kundendaten wie Kontaktdaten, Steuer-ID, IBAN, Ausweiskopie und Portraitfotos aus dem Post-Ident-Verfahren unbefugt kopiert. Dabei wurden offensichtlich die Zugangsdaten des alten IT-Dienstleisters dazu missbraucht. Das Unternehmen hatte nach Beendigung des Vertrages mit dem Dienstleister offenbar dessen Zugangsdaten nicht gelöscht, so dass dieser Zwischenfall geschehen konnte.
Das Gericht urteilte, dass dem Kunden ein Schadenersatz von 2.500,- EUR zustehe, da das Unternehmen einen sicheren Umgang mit den Daten der Kunden nicht gewährleistet habe. Ein solcher sicherer Umgang ist jedoch nach Art. 5 Abs. 1 lit. f DSGVO vorgeschrieben. Hierbei handelt es sich um einen Grundsatz der Datenverarbeitung. Zudem liegt ein Verstoß gegen Art. 32 DSGVO vor, wonach geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten ergriffen werden müssen.
Da es sich hierbei um besonders sensible Daten handelt war nach Auffassung des Gerichts ein Schadenersatzbetrag von 2.500,- EUR angemessen, aber auch ausreichend.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530