17.06.2022 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Das Landgericht Köln entschied in seinem aktuellen Urteil (LG Köln, Urteil vom 18.05.2022 - 28 O 328/21), dass ein Unternehmen, das nach Beendigung der Zusammenarbeit mit einem IT-Dienstleister nicht die dem Dienstleister überlassenen Zugangsdaten zu seinen IT-Systemen austauscht, gegen die Pflichten aus Art. 32 und 5 DSGVO verstößt.
Ein Finanzdienstleister, der Wertpapierdienstleistungen erbringt (individuelle Vermögensverwaltung), wurde zum Beklagten durch einen ihrer Kunden. Im Oktober informierte die Beklagte den Kunden pflichtgemäß darüber, dass es zu einem unberechtigten Datenzugriff auf seine Nutzerdaten gekommen sei.
Dabei seien die folgenden Kategorien personenbezogener Daten des Klägers betroffen gewesen: Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), die im Rahmen der Geeignetheitsprüfung erfassten Informationen, Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontenverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie steuerliche Daten (etwa Steueridentifikationsnummer).
Der Zugriff auf einen Teilbestand von Dokumenten im digitalen Dokumentenarchiv sei zwar nicht durch die Ausnutzung einer unmittelbar von außen ausnutzbaren technischen Sicherheitslücke erfolgt. Der oder die Täter hatten aber Zugangsdaten zum System des Finanzdienstleisters bei einem Dienstleister erbeutet, der dem Finanzdienstleister gegenüber Leistungen erbracht hatte.
Der Kläger machte geltend, ihm sei ein irreversibler Schaden entstanden. Er lebe in ständiger Furcht, dass die Daten missbraucht werden könnten. Andere Betroffene hätten bereits Erpresser-E-Mails erhalten. Er forderte mindestens 5.001 Euro Schadensersatz und kam mit diesem Betrag in die Zuständigkeit des Landgerichts.
Der beklagte Finanzdienstleister wandte ein, ein Teil der Daten des Kunden kursierten bereits aus anderen Vorfällen bei anderen Firmen im Netz. Zudem seien ihre technischen und organisatorischen Maßnahmen zu jeder Zeit und in jeder Hinsicht angemessen. Neben vielen Details verwies er darauf, sein Informationssicherheitsmanagement sei über eine Zertifizierung durch den TÜV Rheinland nach dem allgemein anerkannten ISO 27001:2013-Standard erfolgt. Die Kundendaten seien im sog. „Ruhezustand“ permanent verschlüsselt. Man sei ein „Kollateralopfer“ des Cyber-Angriffs auf den Dienstleister, nicht hingegen eines „Hack“ ihres Systems.
Die Kölner Richter sahen dennoch einen Verstoß gegen gesetzliche Vorgaben. Es sei unstreitig, dass die dem Dienstleister zur Verfügung gestellten Zugangsdaten zum eigenen System nach Beendigung der vertraglichen Beziehung über mehrere Jahre nicht verändert worden seien.
Die Beklagte könne sich angesichts der Sensibilität der gespeicherten Kundendaten insbesondere nicht darauf berufen, sie habe davon ausgehen können, dass die Daten seitens des Dienstleisters dauerhaft und vollständig gelöscht worden seien (so auch in einem Parallelfall LG München I, Urt. v. 9.12.2021, 31 O 16606/20, juris, Rn. 36). Jedenfalls sei eine Überprüfung der Löschung angezeigt gewesen. Eine solche Prüfung habe die Beklagte aber nicht vorgetragen.
Das Gericht sah auch einen ersatzfähigen Schaden begründet, obwohl bislang ein Datenmissbrauch der Daten des Klägers nicht festgestellt werden konnte.
„Dem Kläger entstand auch ein Schaden im Sinne des Art. 82 DSGVO. Die Erwägungsgründe 75 und 85 DSGVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen "physischen, materiellen oder immateriellen Schaden" darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. … Im Vordergrund steht hier eine abschreckende Wirkung des Schadensersatzes, die insbesondere durch dessen Höhe erreicht werden soll. …“
Das Gericht sah den Kläger der Gefahr ausgesetzt, dass versucht werden könnte, ihn zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen, sowie dass die Gefahr bestand, dass es mit Hilfe der Daten zu Identitätsmissbrauchsversuchen kommen würde.
Die Richter berücksichtigten, dass es dazu noch nicht gekommen war, es zusätzlich ein fahrlässiges Verhalten bei dem Dienstleister gab und dass der Beklagte dem Kunden noch eine Zeit lang zum Monitoring den Dienst „meine Schufa plus“ finanziert hatte. Dennoch müsse der Schadensersatz abschreckende Wirkung haben.
Das Urteil zeigt, dass selbst umfangreiche eigene Sicherheitsmaßnahmen nicht den Blick darauf verstellen dürfen, dass auch Dienstleister Einfallstore für Cyber-Attacken sein können. Das eigene Sicherheitsmanagement muss dies berücksichtigen. Sie sollten nicht nur Auftragsdatenverarbeitungsverträge abschließen und sich auf die „TOM“ (technisch organisatorische Maßnahmen) des Dienstleisters verlassen. Stellen Sie eigene Regelungen für Zugriffe auf Ihre Systeme auf und entwickeln Sie Prozesse, die u. a. sicherstellen, dass Zugangsdaten nach Beendigung von Arbeiten gelöscht oder geändert werden.
Die Entscheidung zeigt auch, wie riskant in finanzieller Hinsicht solche Lecks sein können. Die 1200 Euro klingen nach einem bezahlbaren Schaden, aber hier ging es nur um einen Kunden. Andere Kunden können dem folgen und so summieren sich die Risiken schnell auf. Dabei muss es nicht einmal zu einem tatsächlichen Schaden für den Betroffenen gekommen sein. Die Gerichte lassen zunehmend abstrakte immaterielle Schäden ausreichen.
Bild: Kevin Ku (Pexels, Pexels Lizenz)
Themen
Gerne können Sie Ihre Fragen per E-Mail oder Telefon direkt an die zuständige Produktmanagerin oder den zuständigen Produktmanager richten.
Gerne können Sie sich direkt per E-Mail an die zuständige Produktmanagerin oder den zuständigen Produktmanager wenden.
Zur Teilnahme am Online-Seminar benötigen Sie Kopfhörer, Lautsprecher oder Ähnliches.
Da wir unsere Online-Seminaren so interaktiv wie möglich gestalten, empfehlen wir auch die Verwendung von Kamera und Mikrofon.
Für einen optimalen Ablauf empfehlen wir die Nutzung von Google Chrome oder Mozilla Firefox. Die detaillierten technischen Voraussetzungen finden Sie in der Anmeldebestätigung, die wir an die bei der Bestellung angegebene E-Mail-Adresse senden.
Das Teilnahmezertifikat wird Ihnen am Tag nach der Veranstaltung per E-Mail zugesandt.
Die Veranstaltungsunterlage wird Ihnen in digitaler Form am Vortag oder am Tag nach dem Online-Seminar zugesandt.
Sie erhalten am Vortag der Veranstaltung den Zugangslink, über den Sie sich anmelden können. Bei Seminaren, die an einem Montag stattfinden, erhalten Sie den Link am Freitag zuvor.
Gerne können Sie Ihre Fragen per E-Mail oder Telefon direkt an die zuständige Produktmanagerin oder den zuständigen Produktmanager richten.
Gerne können Sie sich direkt per E-Mail an die zuständige Produktmanagerin oder den zuständigen Produktmanager wenden.
Der Standard-Tagesablauf eines eintägigen Seminars sieht wie folgt aus:
Für Teilnehmende stehen bei Veranstaltungen in einigen Tagungshotels begrenzte Zimmerkontingente zur Verfügung. Bei Bedarf können Sie die Reservierungen selbstständig beim Hotel unter dem Stichwort „Verlag Dashöfer“ vornehmen.
Der Veranstaltungsort ist auf der Detailseite jedes Seminars angegeben. Weitere Details zum Veranstaltungshotel erhalten Sie mit Ihrer Seminarbestätigung, spätestens 14 Tage vor der Veranstaltung.
Sobald die Durchführung des Seminars bestätigt wurde, spätestens 14 Tage vorher, erhalten Sie alle Details zur Veranstaltung sowie Ihre Rechnung.
Wenn Sie keine Werbung/Newsletter mehr zugesandt bekommen möchten, können Sie dies per E-Mail an unseren Kundenservice (abmeldung@dashoefer.de) durchgeben.
Die Anmeldung zu unseren kostenfreien Newslettern ist über unsere Internetseite möglich.
Sie haben jederzeit die Möglichkeit, kostenfrei einen Ersatzteilnehmenden für den gebuchten Termin zu benennen.
Schreiben Sie uns einfach eine Mail mit der Seminarnummer, dem Namen der angemeldeten Person sowie dem Namen und der E-Mail-Adresse der Person, die nun an der Veranstaltung teilnehmen wird, an: veranstaltungsmanagement@dashoefer.de
Wenn Sie ein Präsenz-Seminar trotz der Möglichkeit der Terminverschiebung und des Teilnehmerwechsels stornieren möchten, berechnen wir bis 31 Tage vor Seminarbeginn eine Stornierungsgebühr in Höhe von 40 € zzgl. MwSt. pro Seminartag. Ab 30 Tage vor Seminarbeginn wird die volle Teilnahmegebühr fällig.
Wenn Sie eine Stornierung wünschen, schreiben Sie uns einfach eine E-Mail mit der Seminarnummer sowie dem Namen der angemeldeten Person an: veranstaltungsmanagement@dashoefer.de
Präsenz-Seminare können bis zu 15 Tage vor der Veranstaltung kostenlos umgebucht werden. Danach wird aufgrund der Kurzfristigkeit eine Umbuchungsgebühr in Höhe von 60 € zzgl. MwSt. fällig.
Wenn Sie eine Umbuchung wünschen, schreiben Sie uns einfach eine E-Mail mit der Seminarnummer, dem Namen der angemeldeten Person sowie dem neuen Wunschtermin (einzusehen auf der jeweiligen Seminarseite auf unserer Homepage) an: veranstaltungsmanagement@dashoefer.de
Sie haben jederzeit die Möglichkeit, kostenfrei einen Ersatzteilnehmenden für den gebuchten Termin zu benennen.
Schreiben Sie uns einfach eine Mail mit der Seminarnummer, dem Namen der angemeldeten Person sowie dem Namen und der E-Mail-Adresse der Person, die nun an der Veranstaltung teilnehmen wird, an: veranstaltungsmanagement@dashoefer.de
Wenn Sie ein Online-Seminar trotz der Möglichkeit der Terminverschiebung und des Teilnehmerwechsels stornieren möchten, stellen wir Ihnen eine Gebühr in Höhe von 15 % der Seminargebühr zzgl. MwSt. in Rechnung. Ab 13 Tage vor Seminarbeginn wird die volle Teilnahmegebühr fällig.
Wenn Sie eine Stornierung wünschen, schreiben Sie uns einfach eine E-Mail mit der Seminarnummer sowie dem Namen der angemeldeten Person an: veranstaltungsmanagement@dashoefer.de
Online-Seminare können bis zu 15 Tage vor der Veranstaltung kostenlos umgebucht werden. Danach wird aufgrund der Kurzfristigkeit eine Umbuchungsgebühr in Höhe von 60 € zzgl. MwSt. fällig.
Wenn Sie eine Umbuchung wünschen, schreiben Sie uns einfach eine E-Mail mit der Seminarnummer, dem Namen der angemeldeten Person sowie dem neuen Wunschtermin (einzusehen auf der jeweiligen Seminarseite auf unserer Homepage) an: veranstaltungsmanagement@dashoefer.de
Alle Informationen zu unseren Inhouse-Angeboten sowie die passenden Ansprechpartnerinnen und -partner finden Sie auf unserer Inhouse-Seite unter: https://www.dashoefer.de/inhouse-seminare.html
Das Zertifikat, das Sie nach der Veranstaltung per E-Mail erhalten, beinhaltet alle Kriterien (Inhalt, Dauer, Referent*in und Datum), um das Seminar bei den entsprechenden Kammern als Weiterbildung anrechnen zu lassen.
Darüber hinaus gelten unsere Seminare aus dem Bereich Immobilien und Grundbesitz als Qualifikationsnachweis für Mietverwalter, WEG-Verwalter und Immobilienverwalter sowie unsere Seminare aus dem Personalmanagementbereich als Fortbildungsnachweis nach § 15 FAO für Anwält*innen.
Wir akzeptieren ausschließlich Bildungschecks aus dem Bundesland Nordrhein-Westfalen.
Ab der dritten teilnehmenden Person aus einem Unternehmen erhalten die dritte und jede weitere Person einen Preisnachlass von 10 %. Dies gilt für Anmeldungen zu demselben Termin.
Die Seminarpreise verstehen sich netto zzgl. MwSt. und gelten pro Person. Demnach sind bei Online-Seminaren nur die angemeldeten Personen berechtigt, sich mit den Zugangsdaten für die jeweilige Online-Veranstaltung anzumelden.
Das Zahlungsziel unserer Rechnungen beträgt 14 Tage.
Eine Rechnungskorrektur können Sie schriftlich per E-Mail an rechnungsversand@dashoefer.de anfordern. Bitte teilen Sie uns in Ihrer Nachricht die Rechnungsnummer sowie die gewünschte Änderung mit.
Sie erhalten die Rechnung frühestens acht Wochen vor Seminarbeginn und nur dann, wenn wir die Durchführung aufgrund der erreichten Mindestteilnehmendenzahl gewährleisten können.
Die Seminargebühr wird mit Zugang der Anmeldebestätigung fällig und ist zuzüglich der jeweils geltenden gesetzlichen Mehrwertsteuer zu zahlen. Die Fälligkeit der Rechnung ist unabhängig vom Leistungszeitpunkt.
Wenn Sie im Bestellvorgang bei „Diesem Teilnehmer eine eigene Bestellbestätigung zusenden?“ ein Häkchen gesetzt haben und die E-Mail-Adresse der teilnehmenden Person mit der im Feld „Rechnungsanschrift eingeben“ übereinstimmt, werden Ihnen zwei Bestätigungen zugesendet. Sie sind in diesem Fall nicht doppelt angemeldet.
Login
Bitte melden Sie sich mit Ihrem Benutzernamen und Ihrem Passwort an.
Benutzerkonto anlegen
Sind Sie auf unserer Website noch nicht registriert? Hier können Sie sich ein neues Kundenkonto bei dashoefer.de anlegen.
RegistrierenHaben Sie Fragen? Kontaktformular
So erreichen Sie unseren Kundenservice:
Telefon: 040 / 41 33 21 -0
Email: kundenservice@dashoefer.de
Haben Sie Fragen zu unseren Produkten und Online-Angeboten?
Rückruf vereinbaren
Möchten Sie einen Rückruf vereinbaren?