Hypothetischer Kontrollverlust begründet keine Ersatzpflicht
Gelangen personenbezogene Daten an unbefugte Dritte, lässt sich ihre Verbreitung kaum kontrollieren. Das Gesetz sieht daher ein Schmerzensgeld bei Verstößen gegen Datenschutzregelungen vor, aber nicht jedes Datenleck löst diesen Anspruch aus.
Ein Unternehmen wurde im Sommer 2022 Opfer eines Hackerangriffs, bei dem in großem Umfang Mitarbeiterdaten von den Unternehmensservern kopiert wurden. Die hinter dem Angriff stehenden Hacker forderten das Unternehmen zur Zahlung eines Lösegelds auf und drohten, die Daten sonst im Darknet zu verkaufen.
Das Unternehmen zahlte nicht, informierte aber sowohl den Datenschutzbeauftragten des Landes als auch seine derzeitigen und früheren Mitarbeiter über den Angriff. Außerdem beobachtete es durchgängig, ob die Daten im Internet angeboten wurden, was nicht der Fall war. Ein bereits 2020 ausgeschiedener Mitarbeiter meinte, das Unternehmen habe gegen seine Pflichten nach der Datenschutz-Grundverordnung (DS-GVO) verstoßen, weil die Daten nicht ausreichend gegen den Angriff geschützt gewesen seien. Infolgedessen habe er einen Kontrollverlust über seine Daten erlitten, die nun für Missbrauch bis hin zum Identitätsdiebstahl frei verfügbar seien. Der frühere Mitarbeiter verlangte von dem Unternehmen daher Schadensersatz. Das Unternehmen hielt dagegen, jederzeit die technischen Standards eingehalten zu haben. Außerdem sei es nie zur Veröffentlichung der Daten gekommen, sodass der Kontrollverlust gar nicht eingetreten sei.
Sie möchten diesen Artikel vollständig lesen? Hier geht es weiter:
Sie haben bereits Zugang? Melden Sie sich einfach an und lesen Sie sofort weiter.
Sie sind noch kein Kunde? Erweitern Sie Ihren Zugang und testen Sie unsere Produkte:
