Schlechte IT-Sicherheit kann teuer werden! Stadt Baden muss für Datenleck Schadenersatz zahlen

Beitrag verfasst von Dr. Rainer Knyrim und Erika Gleizer – KTR-Newsletter November 2024

Das Landesgerichts Wiener Neustadt (LG Wr. Neustadt) hatte die Stadt Baden wegen eines im März 2022 aufgetretenen Datenlecks zur Zahlung von Schadenersatz verurteilt. Nun wurde berichtet, dass das Oberlandesgericht Wien (OLG Wien) das Urteil bestätigt hat. Wir haben uns diese Entscheidung, die Gegenstand eines Artikels im Standard war, näher angesehen:

Das Datenleck war im Zuge der Einführung neuer Funktionen der Baden-Card aufgetreten und betraf auch Daten zu Online-Registrierungen und Bezahlvorgängen. Obwohl noch nicht alle Konfigurationsarbeiten abgeschlossen waren, wurde die neue Lösung unter Zeitdruck bereitgestellt. Dies führte dazu, dass rund 33.000 Datensätze, einschließlich Meldedaten und Zahlungsinformationen, für mehrere Tage online zugänglich waren. Ein betroffener Bürger klagte daraufhin beim LG Wr. Neustadt auf Schadenersatz.

Das LG Wr. Neustadt hatte zwar festgestellt, dass es weder zu einem Datenmissbrauch noch zu einem Diebstahl gekommen war, aber allein die begründete Sorge vor einem möglichen Missbrauch ausreiche, um einen Anspruch auf Schadenersatz zu begründen. Das OLG Wien bestätigte diese Sichtweise und führte aus, dass bereits „die Angst und der Stress vor einer möglichen Bloßstellung und Belästigung“ für den Schadenersatzanspruch genügten. Die Stadt Baden argumentierte, der Zugriff habe nur über eine bestimmte Website erfolgen können und die betroffenen Daten seien in öffentlichen Registern zugänglich gewesen. Das OLG Wien entschied jedoch, dass ein Nachweis des tatsächlichen Missbrauchs der Daten nicht erforderlich sei. Diese Sichtweise deckt sich mit einem Urteil des Europäischen Gerichtshofs vom 14.12.2023 (EuGH C-340/21), wonach Unternehmen und Behörden bei Datenlecks auch ohne nachweisbaren materiellen Schaden haftbar gemacht werden können.

Darüber hinaus stellte das OLG Wien fest, dass die Stadt Baden die Verantwortung für die IT-Installation der Baden-Card nicht auf das beauftragte IT-Unternehmen abwälzen kann. Eine Haftungsfreistellung gemäß der DSGVO sei nicht möglich, da die Stadt trotz unvollständiger Konfiguration bewusst das Risiko von Sicherheitslücken in Kauf genommen habe.

Fazit: Schlechte IT-Sicherheit kann teuer werden! Obwohl der Schadenersatz von EUR 500,00 pro Person auf den ersten Blick gering erscheinen mag, kann er sich bei einer großen Anzahl Betroffener zu erheblichen Beträgen summieren. Würden etwa in diesem Fall alle 33.000 Betroffenen Schadenersatz einklagen und EUR 500,00 zugesprochen erhalten, wären das in Summe 16,5 Millionen Euro!

Artikel drucken

Beiträge

Newsletter November 2024

Erste Pflichten und Verbote aus dem AI Act

Der AI Act wird bis August 2026 in drei Phasen anwendbar. Bereits ab Februar 2025 müssen Anbieter und Betreiber sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt und dass keine verbotenen KI-Anwendungen zum Einsatz kommen. Was genau ist hier notwendig?

KI und Datenschutz – Infos und Tipps von DSB und DSK

Unternehmen müssen sicherstellen, dass sie KI-Anwendungen datenschutzkonform betreiben und sollten klare interne Richtlinien zur Nutzung implementieren. Wir haben uns dazu die FAQ der österreichischen Datenschutzbehörde und die Orientierungshilfe der Deutschen Datenschutzkonferenz angesehen.

10 Jahre „Datenschutz konkret“

Mit einem „Datenschutz-Heurigen“ wurde das 10-jährige Bestehen der Zeitschrift „Datenschutz konkret“ gefeiert.

Wann sind Webdesigns manipulativ?

Manipulative Webdesigns, auch „Deceptive Design Patterns“ genannt, nutzen psychologische Tricks, um Nutzer:innen zu bestimmten Verhaltensweisen zu verleiten, oft zu deren Nachteil. Der EDSA hat dazu Leitlinien für Social Media-Plattformen veröffentlicht. Die Empfehlungen für datenschutzkonformes Design sind auch für Websites und Apps relevant.

Das kann der EDSA-Datenschutz-Leitfaden für KMU (nicht)

Der Leitfaden des EDSA für kleine Unternehmen, seit Sommer 2024 auf Deutsch verfügbar, bietet grundlegende Informationen zu Datenschutzpflichten. Er erklärt etwa die Betroffenenrechte und Datenschutzverletzungen, ist jedoch in mehreren Bereichen zu oberflächlich.

200 Vorträge zum Datenschutz!

Dr. Rainer Knyrim wurde auf der PriSec 2024 für über 200 Vorträge und 9 Jahre Engagement als fachlicher Leiter mit einem einzigartigen „Pokal“ geehrt.

Schlechte IT-Sicherheit kann teuer werden! Stadt Baden muss für Datenleck Schadenersatz zahlen

Das OLG Wien bestätigte die Verurteilung der Stadt Baden wegen eines Datenlecks im März 2022. Auch ohne nachweisbaren Missbrauch wurde einem betroffenen Bürger Schadenersatz zugesprochen. Die finanziellen Risiken von Datenschutzverletzungen können bei einer hohen Zahl von Geschädigten erheblich werden.

Publikationen unserer Kanzlei

Das Knyrim Trieb Rechtsanwälte Team war wie immer aktiv und hat in den letzten Monaten u.a. zu NIS-2, Medienprivileg, Datenzugangsansprüchen und Restschuldbefreiung publiziert. Für den „DatKomm“ gab es ein 361 Seiten-Upgrade und Dr. Rainer Knyrim hat sich nebenbei noch mit dem Data Act befasst.