Datenleck bei der Trading-App von Scalable Capital: Schadensersatz bei Datenschutzverletzungen?
EuGH, C-182/22 u.a.: Schlussanträge des Generalanwalts vom 26.10.2023
Der Sachverhalt:
Zwei Inhaber von Anlegerkonten bei einer von Scalable Capital betriebenen Trading-App haben für ihre Authentifizierung bestimmte personenbezogenen Daten hinterleg, wie etwa Name, Geburtsdatum, Adresse und eine Kopie des Personalausweises. Diese Daten wurden durch unbekannte Straftäter abgegriffen.
Daraufhin erhoben die beiden gegen Scalable Capital eine Klage auf Schadensersatz nach der EU-Datenschutz-Grundverordnung (DSGVO) vor dem AG München. Sie machen einen immateriellen Schaden wegen angeblichen Schmerzes und Leidens aufgrund des "Diebstahls" ihrer personenbezogenen Daten durch Dritte geltend.
Das AG München geht von einer "über Belanglosigkeit hinausgehenden Sensitivität" dieser Daten aus und nimmt an, dass dem Grunde nach ein Schadensersatzanspruch in Betracht kommt.
Es möchte vom Gerichtshof wissen, ob in einem solchen Fall die Voraussetzungen für immateriellen Schadensersatz nach der DSGVO erfüllt sind. Insbesondere fragt es, ob bereits in dem Umstand, dass Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, bereits ein Identitätsdiebstahl liegt.
Generalanwalt Collins schlägt in seinen Schlussanträgen dem Gerichtshof vor, diese Fragen wie folgt zu beantworten:
Der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Straftäter kann zu einem Anspruch auf immateriellen Schadensersatz führen, wenn der Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und diesem Verstoß erbracht wird. Für die Gewährung eines solchen Schadensersatzes ist es nicht erforderlich, dass der Straftäter die Identität der betroffenen Person angenommen hat, und der Besitz von Daten, die die betroffene Person identifizierbar machen, stellt für sich genommen keinen Identitätsdiebstahl dar.
Mehr zum Thema:
Rechtsprechung:
Data Scraping von Facebook-Seiten
OLG Hamm vom 15.08.2023 - 7 U 19/23
CR 2023, 655
Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Ihr Vorteil: Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma (mth-training) ansehen.
EuGH online
Zwei Inhaber von Anlegerkonten bei einer von Scalable Capital betriebenen Trading-App haben für ihre Authentifizierung bestimmte personenbezogenen Daten hinterleg, wie etwa Name, Geburtsdatum, Adresse und eine Kopie des Personalausweises. Diese Daten wurden durch unbekannte Straftäter abgegriffen.
Daraufhin erhoben die beiden gegen Scalable Capital eine Klage auf Schadensersatz nach der EU-Datenschutz-Grundverordnung (DSGVO) vor dem AG München. Sie machen einen immateriellen Schaden wegen angeblichen Schmerzes und Leidens aufgrund des "Diebstahls" ihrer personenbezogenen Daten durch Dritte geltend.
Das AG München geht von einer "über Belanglosigkeit hinausgehenden Sensitivität" dieser Daten aus und nimmt an, dass dem Grunde nach ein Schadensersatzanspruch in Betracht kommt.
Es möchte vom Gerichtshof wissen, ob in einem solchen Fall die Voraussetzungen für immateriellen Schadensersatz nach der DSGVO erfüllt sind. Insbesondere fragt es, ob bereits in dem Umstand, dass Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, bereits ein Identitätsdiebstahl liegt.
Generalanwalt Collins schlägt in seinen Schlussanträgen dem Gerichtshof vor, diese Fragen wie folgt zu beantworten:
Der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Straftäter kann zu einem Anspruch auf immateriellen Schadensersatz führen, wenn der Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und diesem Verstoß erbracht wird. Für die Gewährung eines solchen Schadensersatzes ist es nicht erforderlich, dass der Straftäter die Identität der betroffenen Person angenommen hat, und der Besitz von Daten, die die betroffene Person identifizierbar machen, stellt für sich genommen keinen Identitätsdiebstahl dar.
Rechtsprechung:
Data Scraping von Facebook-Seiten
OLG Hamm vom 15.08.2023 - 7 U 19/23
CR 2023, 655
Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Ihr Vorteil: Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma (mth-training) ansehen.