Präzedenzfall? Scalable Capital muss von Datenleck betroffenem Kunden Schadensersatz zahlen

Am 9. Dezember erlitt Scalable Capital eine schwere Niederlage vor dem Landgericht München. Das Unternehmen muss dem Kläger, ein Kunde, der vom Datenleck im Oktober 2020 betroffen war, nun 2.500 Euro Schadensersatz wegen immaterieller Schäden zahlen. Für Datenschützer und Verbraucher ist dieses Urteil von großer Bedeutung, denn nie zuvor erfolgte ein Gerichtsurteil zugunsten des Opfers eines Datenlecks. Für Scalable könnte das weitreichende und teure Folgen bedeuten, denn der Kläger ist nur einer von 33.200 Kunden, deren persönliche Informationen wie Kontonummern, E-Mail-Adressen, Ausweiskopien usw. aufgrund des Datenlecks im Darknet landeten.

Wenn weitere Klagen betroffener Kunden folgen sollten, müsste Scalable Rückstellungen in Höhe von mehr als 80 Millionen Euro bilden. Es ist damit zu rechnen, dass Scalable Berufung gegen das Urteil einlegt. Das Unternehmen gab den Medien gegenüber an, die Entscheidung aus diversen Gründen für unzutreffend zu halten.

Persönliche Informationen von über 33.000 Kunden gehackt

Am 19. Oktober 2020 erhielten die Kunden des digitalen Vermögensverwalters Scalable Capital die Nachricht, dass aufgrund eines Datenlecks die persönlichen Daten von mehr als 33.000 Kunden gehackt und ins Darknet gestellt wurden. Dabei handelte es sich um äußerst sensible Informationen zur Identität der Kunden einschließlich Ausweis- und Steueridentifikationsnummern. Anschließend gab es zahlreiche Beschwerden von Kunden über unerwünschte Anrufe und sogar Erpressungsmails.

Im Februar 2021 verklagte einer der Kunden Scalable vor dem Landgericht München auf Schadensersatz. Es war nach dem Datendiebstahl zu mehreren fehlgeschlagenen Login-Versuchen bei seinem E-Mail-Anbieter gekommen und er sorgte sich darum, dass seine persönlichen Daten für Identitätsdiebstahl oder anderweitige Betrugsversuche verwendet werden könnten. Der Kläger forderte in seiner Klage, dass Scalable Capital ihm sämtliche künftige materielle Schäden ersetzen und Schmerzensgeld für den immateriellen Schaden zahlen sollte. Das Robo-Advisor-Unternehmen gab seinerseits an, alle möglichen Maßnahmen ergriffen zu haben, um einen Missbrauch der Daten zu verhindern. Dem Kunden seien keinerlei materielle oder immaterielle Nachteile infolge des Datenlecks entstanden.

Das Landgericht München war anderer Meinung. Gemäß der Datenschutz-Grundverordnung (DSGVO) sei es seitens Scalable Capital zu einem Datenschutzverstoß gekommen. Zwar sei der Zugriff auf die Kundendaten durch einen ehemaligen Drittpartner des Unternehmens erfolgt, die Verantwortung für den Schutz der Daten liege jedoch bei Scalable Capital. Und das Unternehmen habe keine ausreichenden organisatorischen Maßnahmen ergriffen, um den streitgegenständlichen Datenverlust zu verhindern, so das LG München.

Wegweisendes Urteil für Klagen bei Datenschutzverstößen

Dieses Urteil ist das erste, das zugunsten eines Opfers eines Datenlecks ausfiel und dürfte damit ein wegweisender Präzedenzfall für ähnliche Klagen mit Bezug zum Datenschutz werden. Laut dem Urteil sollte die Höhe des Schadensersatzes eine „abschreckende Wirkung“ haben. Dabei handele es sich um Schmerzensgeld für verschiedene Beeinträchtigungen, die dem betroffenen Kunden laut DSGVO aufgrund des Datenlecks entstehen können, z. B. Diskriminierung, Identitätsdiebstahl, Rufschädigung usw.

In dem Urteil heißt es jedoch weiter, dass Scalable alle zukünftig entstehenden materiellen Schäden ersetzen müsse, die auf den Hackerangriff auf das Datenarchiv zurückzuführen sind. Das heißt, wenn dem Kunden in Zukunft materielle Schäden aufgrund des Datenlecks entstehen, muss Scalable Capital dafür aufkommen.

In unserer Kanzlei stehen wir Opfern von Phishing- und Hackerangriffen zur Seite, um ihnen zu ihrem Recht zu verhelfen und ihre Interessen bestmöglich zu schützen. Wenn auch Sie Opfer von Datenklau geworden sind, beraten wir Sie gerne und kämpfen vor Gericht für Ihr Recht. Vereinbaren Sie dazu einfach einen Termin für ein kostenloses und unverbindliches Erstgespräch.