Schlechte IT-Sicherheit kann teuer werden! Stadt Baden muss für Datenleck Schadenersatz zahlen
Beitrag verfasst von Dr. Rainer Knyrim und Erika Gleizer – KTR-Newsletter November 2024
Das Landesgerichts Wiener Neustadt (LG Wr. Neustadt) hatte die Stadt Baden wegen eines im März 2022 aufgetretenen Datenlecks zur Zahlung von Schadenersatz verurteilt. Nun wurde berichtet, dass das Oberlandesgericht Wien (OLG Wien) das Urteil bestätigt hat. Wir haben uns diese Entscheidung, die Gegenstand eines Artikels im Standard war, näher angesehen:
Das Datenleck war im Zuge der Einführung neuer Funktionen der Baden-Card aufgetreten und betraf auch Daten zu Online-Registrierungen und Bezahlvorgängen. Obwohl noch nicht alle Konfigurationsarbeiten abgeschlossen waren, wurde die neue Lösung unter Zeitdruck bereitgestellt. Dies führte dazu, dass rund 33.000 Datensätze, einschließlich Meldedaten und Zahlungsinformationen, für mehrere Tage online zugänglich waren. Ein betroffener Bürger klagte daraufhin beim LG Wr. Neustadt auf Schadenersatz.
Das LG Wr. Neustadt hatte zwar festgestellt, dass es weder zu einem Datenmissbrauch noch zu einem Diebstahl gekommen war, aber allein die begründete Sorge vor einem möglichen Missbrauch ausreiche, um einen Anspruch auf Schadenersatz zu begründen. Das OLG Wien bestätigte diese Sichtweise und führte aus, dass bereits „die Angst und der Stress vor einer möglichen Bloßstellung und Belästigung“ für den Schadenersatzanspruch genügten. Die Stadt Baden argumentierte, der Zugriff habe nur über eine bestimmte Website erfolgen können und die betroffenen Daten seien in öffentlichen Registern zugänglich gewesen. Das OLG Wien entschied jedoch, dass ein Nachweis des tatsächlichen Missbrauchs der Daten nicht erforderlich sei. Diese Sichtweise deckt sich mit einem Urteil des Europäischen Gerichtshofs vom 14.12.2023 (EuGH C-340/21), wonach Unternehmen und Behörden bei Datenlecks auch ohne nachweisbaren materiellen Schaden haftbar gemacht werden können.
Darüber hinaus stellte das OLG Wien fest, dass die Stadt Baden die Verantwortung für die IT-Installation der Baden-Card nicht auf das beauftragte IT-Unternehmen abwälzen kann. Eine Haftungsfreistellung gemäß der DSGVO sei nicht möglich, da die Stadt trotz unvollständiger Konfiguration bewusst das Risiko von Sicherheitslücken in Kauf genommen habe.
Fazit: Schlechte IT-Sicherheit kann teuer werden! Obwohl der Schadenersatz von EUR 500,00 pro Person auf den ersten Blick gering erscheinen mag, kann er sich bei einer großen Anzahl Betroffener zu erheblichen Beträgen summieren. Würden etwa in diesem Fall alle 33.000 Betroffenen Schadenersatz einklagen und EUR 500,00 zugesprochen erhalten, wären das in Summe 16,5 Millionen Euro!