AKDB aktuell Februar 2020

Dienstleister vertritt Datenschutz-Schadensersatzforderungen

Datenpannen können nicht nur hohe Bußgelder nach sich ziehen, die Betroffenen haben auch Anspruch auf Schadensersatz. Ein Dienstleistungsunternehmen hat eine neue Plattform gegründet und prüft kostenfrei, ob Ansprüche gerechtfertigt sind.

Das neue Jahr war erst wenige Tage alt, und schon gab es neue Cyberangriffe. Die Stadtverwaltungen Potsdam und Brandenburg mussten wegen einer Schwachstelle in der Systemsoftware Citrix ganz oder teilweise vom Netz gehen. Die Sicherheitslücke, vor der der Software-Hersteller bereits im Dezember 2019 warnte, wurde auf mehr als 2.000 deutschen Servern gefunden. Betroffen sind Krankenhäuser, Behörden, Kommunen, Kraftwerksbetreiber, Stadtwerke, Banken, Forschungseinrichtungen sowie mittlere und große Unternehmen. Im Januar warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) erneut und forderte alle Citrix-Anwender auf, die vom Hersteller bereitgestellten Workaround-Maßnahmen umzusetzen.

Sicherheitsleck bei Autoverleiher

Ein weiteres Sicherheitsleck gab es bei einem großen deutschen Autoverleiher. Millionen von Kundendaten, teilweise noch aus dem Jahr 2003, standen ungeschützt im Netz und konnten ohne größere Probleme heruntergeladen werden. Nicht nur Namen, Adressen und Geburtsdaten der Kunden waren in dieser Datenbank zu finden, sondern auch Details zu Verträgen und Rechnungen sowie sensible Daten zu Unfällen, Unfallgegnern und Unfallzeugen. Telefonnummern von Personen des öffentlichen Lebens, die Kunden bei dem Autoverleiher waren, standen offen im Netz. Sogar BSI-Präsident Arne Schönbohm war von dem Datenleck betroffen. Das BSI hält die Folgen für kaum abschätzbar. Die Daten könnten noch Jahre später für Spam, Phishing oder Identitätsdiebstahl missbraucht werden.

Konsequenzen bei Datenschutzverstößen und Sicherheitslecks

Als Konsequenz aus Datenschutzverstößen und Sicherheitslecks können gegen Unternehmen hohe Bußgelder verhängt werden, bis zu vier Prozent des Jahresumsatzes. Öffentliche Stellen sind von Bußgeldforderungen nicht betroffen, die Aufsichtsbehörden können aber verwarnen und eine Behebung des Datenschutzverstoßes fordern. Sie können den Verantwortlichen anweisen, die Betroffenen zu benachrichtigen und in letzter Konsequenz verlangen, dass die Datenverarbeitung beschränkt oder gänzlich eingestellt wird. Es könnte auch zu massenweisen Auskunftsersuchen über die gespeicherten Daten kommen, wozu im Fall des Autoverleihers im Netz bereits aufgefordert wird. In allen Fällen ist der Imageschaden groß.

Plattform für Schadensersatzansprüche

Bislang weniger bekannt ist, dass Betroffene auch Schadensersatzansprüche nach Art. 82 DSGVO geltend machen können und zwar sowohl bei materiellen als auch bei immateriellen Schäden. Für einzelne Betroffene ist das Einfordern von Schadensersatz oder Schmerzensgeld nicht einfach und wird schnell kostspielig. Die EuGD, die europäische Gesellschaft für Datenschutz mbH mit Sitz in München, prüft kostenfrei Ansprüche, bündelt Schadensfälle und arbeitet auf Provisionsbasis. Können die Ansprüche gerichtlich durchgesetzt werden, erhält das Unternehmen einen Anteil der erstrittenen Schadensersatzsumme.

Da von Datenschutzvorfällen betroffenen Verbrauchern nun ein Portal zur Verfügung steht, mit dem Schadensersatzansprüche deutlich einfacher durchgesetzt werden können, steigt der Druck auf alle, die sich bei diesem sensiblen Thema einen Lapsus leisten. Damit es erst gar nicht so weit kommt, bieten AKDB und GKDS professionelle Unterstützung und Beratung zu allen Themen rund um den Datenschutz.