Das Landgericht Lübeck hat am 4. Oktober 2024 (Az. 15 O 216/23) ein lesenswertes Urteil zur Haftung von Unternehmen bei Datenschutzverletzungen und Schadensersatzansprüchen nach der Datenschutz-Grundverordnung (DSGVO) gefällt. Ein Verbraucher hatte gegen die Streaming-Plattform Deezer geklagt, nachdem personenbezogene Daten infolge eines Datenlecks im Darknet veröffentlicht wurden.
Hintergrund des Urteils
Deezer arbeitete zur Verwaltung von Kundendaten mit der Firma M. und deren Tochtergesellschaft O. in Israel zusammen. Der Datenverarbeitungsvertrag zwischen Deezer und M. enthielt Regelungen zum Datenschutz und zur Beauftragung von Unterauftragsverarbeitern. Jedoch wurde nicht ausreichend geprüft, ob diese Vorschriften durch alle Beteiligten eingehalten wurden. 2019 wurden personenbezogene Daten an O. übermittelt, die 2022 im Darknet auftauchten. Die Beklagte meldete das Leck zwar den Behörden, konnte jedoch nicht verhindern, dass betroffene Nutzerdaten weiterverbreitet wurden.
Gerichtliche Feststellungen
Das Gericht sah mehrere Datenschutzverstöße auf Seiten von Deezer als erwiesen an. Dazu gehörte insbesondere die fehlende vertragliche Absicherung der datenschutzrechtlichen Pflichten des Unterauftragsverarbeiters O. Eine derartige Absicherung ist nach Art. 28 DSGVO erforderlich und hätte gewährleisten sollen, dass personenbezogene Daten sicher verarbeitet werden.
Die Beklagte argumentierte, dass sie keine Kenntnis über die Veröffentlichung der Daten im Darknet habe. Das Gericht urteilte jedoch, dass ein international agierendes Unternehmen verpflichtet sei, diese Informationen technisch zu überprüfen. Ein bloßes Bestreiten der Veröffentlichung mit „Nichtwissen“ sei hier nicht zulässig.
Haftungsumfang und Schadenersatz
Das Gericht bejahte eine Haftung der Beklagten gemäß Art. 82 DSGVO. Dabei reicht es laut Urteil aus, dass der Verantwortliche (hier Deezer) einen Vorgang initiiert hat, der die schädigende Handlung ermöglichte. Deezer haftet daher auch für weisungswidrige Handlungen des Unterauftragsverarbeiters, sofern ein mangelnder Datenschutzvertrag eine Bedingung für den späteren Datenschutzverstoß darstellte.
Das Gericht sprach der Klägerin einen immateriellen Schadenersatz von 350 Euro zu. Entscheidende Faktoren hierfür waren die Veröffentlichung der Daten im Darknet sowie die begründeten Sorgen und Ängste der Klägerin vor Identitätsmissbrauch und Phishing-Angriffen. Art. 82 DSGVO kennt keine Bagatellgrenze, sodass bereits die „begründete Furcht“ vor Datenmissbrauch einen ersatzfähigen Schaden darstellen kann.
Fazit und Bedeutung
Das Urteil des LG Lübeck verdeutlicht, wie wichtig eine vertragliche Absicherung zwischen Verantwortlichen und Auftragsverarbeitern ist, um Datenschutzverletzungen zu vermeiden. Unternehmen müssen sicherstellen, dass auch Unterauftragnehmer den datenschutzrechtlichen Anforderungen genügen. Andernfalls droht eine Haftung für Datenschutzverstöße selbst dann, wenn diese durch Dritte verursacht wurden. Für Betroffene bedeutet das Urteil, dass auch rein immaterielle Schäden – etwa die Sorge um den Missbrauch eigener Daten – einen Schadensersatzanspruch begründen können.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530