LG Köln: Verspäteter Austausch von Zugangsdaten führt zu Schadensersatz nach Art. 82 DSGVO
Das Landgericht Köln (LG Köln, Urteil vom 18.05.2022 – 28 O 328/21) hat einen Schadensersatzanspruch nach Art. 82 DSGVO bejaht, wenn ein Verantwortlicher die Zugangsdaten bei einem ehemaligen IT-Dienstleister nicht löscht und somit mitursächlich für einen unbefugten Zugang war.
Entscheidungsgründe
Das LG Köln entschied, dass ein Unternehmen gegen Art. 32 und 5 DSGVO verstößt, wenn es nach Beendigung der Zusammenarbeit mit einem IT-Dienstleister nicht die diesem überlassenen Zugangsdaten zu seinen IT-Systemen austauscht. Ein Verantwortlicher dürfe sich laut dem LG Köln insbesondere beim Zugang zu Kundendaten nicht darauf verlassen, dass der Dienstleister die Zugangsdaten von sich aus lösche.
Für einen Schadensersatzanspruch nach Art. 82 DSGVO reiche es aus, wenn die fehlende Löschung der Zugangsdaten für einen unberechtigte Zugriff auf die Nutzerdaten mitursächlich war. Bei der nach § 287 ZPO vorzunehmenden Schätzung des Schadens sei die Mitursächlichkeit des Versäumnisses zu berücksichtigen. Bei der Festlegung des Schadens in Höhe von 1.200 Euro spielte auch eine Rolle, dass ein Missbrauch der Daten zu Lasten des Klägers bisher nicht festgestellt wurde.
Fazit
Die Entscheidung reiht sich in die Entscheidungspraxis zu Schadensersatzansprüchen bei Datenschutzverstößen. Gerade bei vielen Betroffenen können sich Schadensersatzansprüche hier zu hohen Schadenspositionen kumulieren.