Aufgrund eines Data Breaches der Gebühren Info Service GmbH (GIS) entschied die Datenschutzbehörde kürzlich, dass Betroffene dadurch im Grundrecht auf Datenschutz verletzt und die GIS gegen die DSGVO verstoßen habe. Grund dafür war ein Datenleck, wonach Meldedaten von Bürgern von einem Dritten abgefangen und online zum Verkauf angeboten wurden.
Was ist passiert
2020 beauftragte die GIS ein IT- Subunternehmen zur Neustrukturierung der Datenbank. Dabei wurden Meldedaten – etwa 9 Millionen Datensätze – von diesem Unternehmen versehentlich und ungeschützt ins Netz gestellt. Angaben zufolge sollen diese etwa eine Woche ungeschützt auf dem Server zur Verfügung gestanden haben. Ein Hacker (inzwischen laut Berichten verhaftet) griff diese Daten ab und bot sie in einem Online-Forum zum Verkauf an.
Entscheidung der Datenschutzbehörde
Die Datenschutzbehörde stellte fest, dass die GIS durch das ungeschützte Onlinestellen der Meldedaten mangels geeigneter technischer und organisatorischer Maßnahmen gegen die datenschutzrechtlichen Bestimmungen verstoßen hat.
Ein Straferkenntnis wurde nicht erlassen, da die GIS als öffentliche Stelle nicht bestraft werden kann.
Immaterieller Schadenersatzanspruch
Betroffene beteiligen sich derzeit an einem Sammelverfahren für eine Schadenersatzklage gegen die GIS. Aufgrund der im Mai dieses Jahres ergangenen Entscheidung des EuGH betreffend den Entfall der Erheblichkeitsschwelle in der Rechtssache C‑300/21 (siehe dazu bereits unseren KWR Blog vom 17.05.2023 Gefühlsschaden II | KWR), stehen die Chancen auf Erlangung eines angemessenen immateriellen Schadenersatzes nicht ungünstig.
Wie in unserem vorherigen Blog zu diesem Thema bereits erwähnt, sind die Voraussetzungen für einen (immateriellen) Schadenersatz: ein Datenschutzrechtsverstoß, ein tatsächlich eingetretener (immaterieller) Schaden und ein kausaler Zusammenhang zwischen Rechtsverstoß und Schaden. Die Frage, ob auch ein Verschulden für die Geltendmachung des immateriellen Schadenersatzes erforderlich ist, wurde dem EuGH (C-667/21) bereits vorgelegt (siehe dazu bereits unseren KWR Blog vom 7.12.2023 (Un)Abhängigkeit von Verschulden für immateriellen Schadenersatz im Datenschutz | KWR). Eine Entscheidung steht noch aus.
Ausblick
Da der EuGH keine Erheblichkeitsschwelle für den eingetretenen immateriellen Schaden fordert, könnte auch eine „geringere“ Beeinträchtigung der Gefühlswelt des Geschädigten ausreichen. Die Pflicht der Betroffenen, den tatsächlich eingetretenen immateriellen Schaden stets nachzuweisen, besteht jedenfalls weiterhin. Die bloße Angst vor ungewissen zukünftigen Schäden werden jedenfalls nicht ersetzt.
Für Fragen steht Ihnen das KWR Datenschutzteam gerne zur Verfügung.