Es ist rund zwei Jahre her, da schockte Scalable Capital seine Kunden mit einem Eingeständnis: Dem Berliner Neobroker waren Kundendaten in massivem Umfang abhandengekommen. Nicht nur Name, Anschrift und Kontaktinfos waren in fremde Hände gelangt, teilweise waren auch Informationen zu Bankverbindungen und Ausweiskopien erbeutet worden. Rund 33.200 Kunden waren damals betroffen.

Seit dem Vorfall sieht sich der Neobroker mit Klagen von Nutzern konfrontiert, die wegen des Datendiebstahls Schadensersatz fordern. Die Datenschutzgrundverordnung (DSGVO) sieht neben dem Schutz von Daten ein solches Klagerecht explizit vor.

Nun hat der Neobroker ein Urteil des Landgerichts Köln akzeptiert, das einem Nutzer 1.200 Euro immateriellen Schadensersatz zugesteht. Die Berufung gegen den Richterspruch vor dem Oberlandesgericht Köln hat der Neobroker nach einer mündlichen Verhandlung im Februar zurückgezogen.

Bei dem Gerichtstermin hatte das Oberlandesgericht klar gemacht, dass es an der grundsätzlichen Einschätzung, dass dem Kläger Schadensersatz zustehe, nicht rütteln würde, auch wenn in dem konkreten Fall etwa die Ausweiskopie oder die IBAN-Daten des Kunden nicht betroffen waren. Trotz dieser Umstände hielten die Richter auch die Höhe des Schadensersatzes für begründet.

Für einen Datenschutzvorfall ist das eine hohe Summe. Allerdings urteilten im Fall Scalable bisher nicht alle Gerichte gleich. In anderen Fällen haben sie Klägern allenfalls symbolische Beträge zugesprochen. Eine Sprecherin von Scalable Capital weißt zudem auf eine rechtskräftige Entscheidung mit erheblich geringerem Schadenersatz sowie ein Urteil hin, das den immateriellen Schadensersatzanspruch des Klägers vollständig abgelehnt hat. Darüber hinaus seien Verfahren wegen offener Fragen des europäischen Rechts ausgesetzt oder durch Klagerücknahme beendet worden. In sämtlichen entschiedenen Fällen müssten sich die Kläger in erheblichem Umfang an den Verfahrenskosten beteiligen.

Eine einheitliche Rechtsprechung gibt es insgesamt bei solchen Datenschutzvorfällen in Deutschland noch nicht. Gerichte tun sich vor allem schwer, zu beziffern, wie hoch der Schadensersatz sein kann, wenn noch kein konkreter, materieller Schaden entstanden ist. Dabei kann zum Beispiel ausschlaggebend sein, wie Datendiebe an die Informationen gekommen sind und wie sensibel die erbeuteten Daten waren.

Als der Datendiebstahl bei dem Neobroker im Herbst 2020 aufflog, beteuerte Scalable, dass es sich nicht um einen direkten Hackerangriff gehandelt habe. Tatsächlich waren die Datendiebe über Umwege an die Informationen der Scalable-Kunden gekommen. Der Neobroker sprach damals von einem Zugriff auf die betroffenen Archive, der unter „Zuhilfenahme von unternehmensinternen Wissen, das nur über gesicherte Zugänge verfügbar ist“, möglich war.

Heute weiß man aus Gerichtsunterlagen, dass die Zugangsdaten bei einem Dienstleister abgegriffen wurden, zu dem Scalable seine Geschäftsbeziehung allerdings bereits im Jahr 2015 abgebrochen hatte. Offenbar hatte es der Neobroker im Anschluss versäumt, die Zugangsdaten zu seinen IT-Systemen, die der Anbieter genutzt hatte, zu ändern. So erlangten Fremde Zugriff auf die Cloud-Umgebung des Neobrokers – eine Sicherheitslücke, die das Landgericht Köln in seinem Urteil als vermeidbar und damit als Verstoß gegen die DSGVO ansah.

Der Kölner Fall ist bereits das zweite Urteil mit einer hohen Entschädigungssumme, der rechtswirksam wird. In einem ähnlichen Verfahren hatte ein Kläger in München sogar 2.500 Euro von Scalable Capital erhalten. Auch dort zog der Neobroker die Berufung zurück, bevor die höhere Instanz ein Urteil sprechen konnte – sehr zum Frust der Klagevehikel, die sich solcher Datenschutzfälle annehmen.

Thomas Bindl, Gründer der Europäischen Gesellschaft für Datenschutz (EuGD), ist entsprechend enttäuscht, dass durch die Rücknahme der Berufung der Weg zu einem höchstinstanzlichen Urteil erneut beendet ist. Dieses hätte auch Signalcharakter für andere, noch anhängige Fälle.

Allein bei der EuGD haben sich rund 2.500 Scalable-Kunden angemeldet, um ihre Ansprüche durchsetzen zu lassen. Das sogenannte Legal-Tech-Unternehmen arbeitet auf Erfolgsbasis: Kommt es zu einer Entschädigung, kassiert EuGD 25 Prozent der Summe. Das ist auch bei Konkurrenten wie etwa Kleinfee so. Dafür nehmen die Unternehmen die Mühen und das Kostenrisiko auf sich, die Ansprüche rechtlich durchzusetzen. Derzeit sind wegen des Datenschutzverstoßes weitere Verfahren der EuGD gegen Scalable Capital in München und Frankfurt anhängig.

Trotzdem fühlt sich Bindl nun bestärkt, für „eine Vielzahl Betroffener prozessuale Schritte“ vorzubereiten, schließlich zeige die erneute Zurücknahme einer Berufung, dass der Verstoß an sich kaum mehr infrage gestellt werde.

Legal Techs wie EuGD haben es vor allem auf einen Vergleich mit den betroffenen Unternehmen abgesehen, doch bis dahin ist es meist ein langer Weg. Zu ihrer Strategie gehört es daher, mit ersten Verfahren und Urteilen Druck auf die betroffenen Unternehmen aufzubauen.

Dass das gelingen kann, zeigt das Beispiel Mastercard Priceless: Der Kreditkartenanbieter zahlte klagewilligen Kunden kürzlich jeweils 300 Euro Schadensersatz – und beendete damit ein Gerichtsverfahren vor dem Bundesgerichtshof, bevor es zur Verhandlung kam. Zuvor hatten Betroffene dreieinhalb Jahre wegen des Datenschutzvorfalls geklagt.