Dass DSGVO-Verstöße teuer werden können, musste jetzt einmal mehr der digitale Broker und Vermögensverwalter Scalable Capital einsehen. Das Unternehmen, das inzwischen 10 Milliarden Euro an Kund:innengeldern von rund 600.00 Kund:innen verantwortet, hatte im Oktober 2020 einen Datenschutzvorfall, bei dem offenbar durch einen Dienstleister Ausweisdaten veruntreut wurden und im Netz landeten.
Unbefugte hatten sich damals Zugang zu persönlichen Daten wie Adressen, Ausweis-, Steuer- und Depotinformationen von mehr als 33.000 aktiven und früheren Kund:innen von Scalable verschafft – und Scalable Capital damit die strengen Haftungsvorschriften in Zusammenhang mit der Datenschutzgrundverordnung verletzt.
Scalable Capital ist nach eigenen Angaben bis heute allerdings noch kein Fall bekannt, in dem durch besagte Lücke materielle Schäden für die Kund:innen und Ex-Kund:innen entstanden seien. Insofern drehten sich auch mehrere Rechtsstreitigkeiten zu der Affäre um potenzielle und immaterielle Schäden.
2.500 Euro Schadensersatz erstritten
Im Dezember 2021 erstritt das auf Legaltech-Themen spezialisierte Jura-Startup EuGD vor dem Landgericht München I für einen der Betroffenen daher einen immateriellen Schadensersatz gegen Scalable in Höhe von 2.500 Euro. Das Gericht urteilte damals, dass die Sicherheitslücke im Verantwortungsbereich des Unternehmens lag, auch wenn bei der zugesprochenen Summe einfloss, dass es offenbar nicht zu Datenmissbrauch durch Dritte gekommen sei (Aktenzeichen 31 O 16606/20).
Das Gericht kam im Verfahren zu dem Schluss, dass aufgrund eines Datenabgriffs bei einem ehemaligen Dienstleister von Scalable Capital eine Sicherheitslücke beim Zugang in die Cloud-Umgebung des Fintech-Unternehmens entstanden war. Die Sicherheitslücke sah das Gericht als vermeidbar und damit als einen Verstoß gegen die DSGVO an und sprach dem Kläger wegen des Kontrollverlusts über seine persönlichen Identitäts- und Finanzdaten einen immateriellen Schadensersatz zu.
In der Zwischenzeit haben sich auch die Landgerichte Köln und Stuttgart dieser Sichtweise angeschlossen und in anderen Verfahren gegen Scalable Capital Betroffenen Schadensersatz in Höhe von jeweils 1.200 Euro zugesprochen (diese Urteile sind allerdings noch nicht rechtskräftig). Eine Sprecherin von Scalable Capital verweist in dem Zusammenhang aber auch auf ein weiteres, ebenfalls rechtskräftiges Urteil, wonach der Kläger zu einem überwiegenden Teil unterlegen sei und ein immaterieller Schadensersatz von nur 300 Euro zugesprochen bekam.
Das Amtsgericht München sehe es, so Scalable Capital, als erforderlich an, dass zunächst der Europäische Gerichtshof wesentliche offene Rechtsfragen des immateriellen Schadensersatzes im Wege eines Vorabentscheidungsgesuch kläre. Zudem bleibe festzuhalten, dass die Kläger in den ausgeurteilten Fällen jeweils teilunterlegen sind und teils zu deutlich überwiegenden Teilen die entsprechenden Verfahrenskosten zu tragen haben.
Doch keine Berufung – aus strategischen Gründen
Anders als zwischenzeitlich angekündigt, will Scalable Capital nun doch nicht in Berufung gehen, wie EuGD in einer Mitteilung berichtet. Aus „strategischen Gründen“ habe man die Berufung zurückgenommen – wohl bereits im Juli. Damit ist das Urteil des Landgerichts München I aus dem vergangenen Jahr rechtskräftig.
Auch wenn die Entscheidung keine bindende Wirkung für andere Verfahren hat, entschied sich das Gericht untypischerweise für das Anerkennen immaterieller Schäden – und machte laut Rechtsanwältin Diana Ettig, die den Kläger vor Gericht vertrat, deutlich, dass das OLG ebenfalls zugunsten des Klägers entscheiden könnte.
Legaltechs arbeiten mit Provision auf Erfolgsbasis
All das ist natürlich Wasser auf die Mühlen für Legaltech-Unternehmen wie EuGD, deren Geschäftsmodell darin besteht, bei größeren Verstößen, die zahlreiche Kund:innen betreffen, die Verbraucher:innen quasi „am Fließband“ zu vertreten und so das Risiko für alle Beteiligten zu reduzieren. „EuGD hat nun in einem ersten Verfahren ein rechtskräftiges Schadensersatzurteil wegen eines Datenlecks erwirkt. Das ermutigt hoffentlich weitere Verbraucher, ihre Rechte geltend zu machen“, erklärt Thomas Bindl, Gründer von EuGD.
Der Rechtsdienstleister erhält im Erfolgsfall 25 Prozent der erstrittenen Summe und geht somit für die Verbraucher:innen ins Risiko – ein Geschäftsmodell, das bei einer Vielzahl vergleichsweise einfacher, klarer und nahezu gleicher Sachverhalte, in denen sich die beklagten Unternehmen gegenüber einzelnen Kund:innen oft stur stellen, gut funktioniert und sich für alle Beteiligten (außer die Beklagten) rechnet. Ähnliche Legaltechs gibt es zu Mietrechtsstreitigkeiten sowie zu Fahr- und Fluggastrechten.
Peter Hense, Partner der Sozietät Spirit Legal, glaubt jedenfalls, dass das Urteil damit Signalcharakter hat und größere Unternehmen bezüglich der DSGVO mehr in die Pflicht nimmt: „Damit ist klar, dass Investitionen zum Schutz von Nutzerdaten für Unternehmen – insbesondere in einem so sensiblen Bereich wie der Finanzbranche – kein Rechenexempel mehr sein können, sondern eine klare Notwendigkeit sind.“