Hack

IT-Dienstleister hat die Zugangsdaten: Datenschutzverstoss - Symbolbild: Photo Mix via Pixabay

Datenklau mit Zugangsdaten des IT-Dienstleisters: Schadenersatz

von

Wer hat eigentlich Zugangsdaten zu Ihren IT-Systemen?

Nicht gelöschte Zugangsdaten werden schnell zum teuren Risiko. Zur IT-Sicherheit im Unternehmen gehört es, Zugänge von Mitarbeitern und Dienstleistern regelmäßig zu überprüfen und bei Bedarf zu löschen.

Wenn ein Unternehmen die Zugangsdaten früherer Mitarbeiter und Dienstleister nicht deaktiviert und Unbefugte damit Daten stehlen, drohen Schadenersatzansprüche – und die können ohne Versicherung existenzbedrohend werden.

All das zeigt ein Fall, über den das Landgericht München I vor kurzem entschieden hat (LG München, 09.12.2021 – 31 O 16606/20). Das Urteil unterstreicht, warum Unternehmen unbedingt ihre Haftung für Datenschutzverstöße versichern sollten.

Haftung für Kundendaten, die über den Zugang eines Dienstleisters gestohlen wurden

Das Gericht sprach einem früheren Kunden des Finanzdienstleisters Scalable Capital 2.500 Euro Schadenersatz und einen zusätzlichen Anspruch auf Ersatz aller noch entstehenden Schäden zu.

Der Mann hatte bei dem Online-Broker ein Depotkonto eingerichtet und dazu viele personenbezogene Daten übermittelt. Diese fielen unbekannten Datendieben in die Hände: von der Post- und E-Mail-Adresse sowie der Handynummer über das Geburtsdatum und die Steuer-ID bis zu Wertpapierabrechnungen und der IBAN des Referenzkontos. Auch eine Ausweiskopie und das Porträtfoto fürs Post-Ident-Verfahren wurden entwendet.

Ausgangspunkt waren Zugangsdaten von CodeShip Inc., ein früherer Cloud- bzw. SaaS-Dienstleister von Scalable Capital („Software as a Service“, Cloud-Hosting von Anwendungen). Obwohl die Geschäftsbeziehung schon 2015 geendet hatte, funktionierte der CodeShip-Zugang zur IT von Scalable Jahre später noch immer. Mit diesen Zugangsdaten unternahmen Unbekannte drei großen Daten-Raubzüge: im April, im August und im Oktober 2020 wurden 389.000 Datensätze von insgesamt 33.200 Scalable-Kunden ausgelesen. Die Informationen wurden später für versuchten Kreditbetrug genutzt und im Darknet zum Verkauf angeboten.

Zugangsdaten beim Dienstleister, Haftung beim Auftraggeber

Scalable muss also zahlen, obwohl für den Hack bei CodeShip hinterlegte Zugangsdaten missbraucht wurden. Dabei befasste sich das Gericht gar nicht erst mit der möglichen Verantwortlichkeit von Scalable für Sicherheitsmängel beim früheren Dienstleister. Es sah entscheidende Versäumnisse bei dem Online-Broker selbst: Der hätte den Zugang des ehemaligen Geschäftspartners längst deaktivieren bzw. die Löschung des Zugangs überprüfen müssen.

Stattdessen verließ er sich fahrlässigerweise darauf, dass der frühere Geschäftspartner die Zugangsdaten schon löschen würde. In diesem Versäumnis sahen die Richter einen Datenschutzverstoß. Dieser führte zur Haftung des Finanzunternehmens. Es nützte ihm wenig, dass er nach dem Vorfall sofort Gegenmaßnahmen getroffen hatte und dem betroffenen Kunden noch kein konkreter materieller Schaden entstanden war.

Dem Unternehmen droht eine Klagewelle

Die 2.500 Euro plus Zinsen, die dem klagenden Kunden zugesprochen wurden, sollte man nicht unterschätzen. Von der Datenschutzverletzung waren wie erwähnt mehr als dreißigtausend Kunden betroffen. Sollte sich eine größere Anzahl von ihnen zur Klage entschließen, können schnell gewaltige Summen zusammenkommen.

Das Risiko von Datenschutzverletzungen lässt sich versichern!

  • Immer häufiger gestehen die Gerichte den Betroffenen einer Datenschutzverletzung Anspruch auf Schadenersatz zu.
  • Ein konkreter finanzieller Schaden muss dafür nicht vorliegen. Auch Nichtvermögensschäden begründen Entschädigungsansprüche, etwa Identitätsdiebstahl, Rufschädigung, gesellschaftliche Nachteile oder der Verlust der Vertraulichkeit (LG München I, 02.09.2021 – 23 O 10931/20).
  • Dazu kommen Bußgelder. Die sind bei Verstößen gegen die Datenschutzvorschriften oft von empfindlicher Höhe.

  • Der Verweis auf das hohe IT-Sicherheitsniveau nützte Scalable Capital vor Gericht gar nichts. Ja, die IT-Infrastruktur war gemäß ISO 27001 zertifiziert. Entscheidend war jedoch der nicht gelöschte Zugang. Das bestätigt wieder einmal: Selbst aktuelle Technik und Zertifizierungen garantieren keine IT-Sicherheit. Genau deshalb sind Versicherungen sinnvoll.

  • Die gute Nachricht: Die Haftung aus Datenschutzverstößen lässt sich versichern, solange sie nicht gerade vorsätzlich begangen werden. Auch für das Risiko der Unternehmensleitung, für solche Vorfälle persönlich zu haften, gibt es Versicherungsschutz. Das Gleiche gilt für Eigenschäden aus einer Cyber-Attacke.

acant hilft Ihnen beim Risikomanagement

Wir von acant sind Spezialversicherungsmakler für technische Unternehmensrisiken, Cyber-Bedrohungen und Manager-Haftung. Wir beraten Sie gerne dazu, wie sich das Risiko der Datenschutzhaftung in Ihrem Unternehmen betriebswirtschaftlich sinnvoll versichern lässt. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns!