Datenklau: Sicherheitsleck bei Dienstleister ist kein Kündigungsgrund

Stellen Sie sich vor, Sie sind Kunde bei einer Fitnesskette oder nutzen ein Online-Angebot und werden informiert, dass Ihre Daten durch einen Hackerangriff gestohlen wurden – haben Sie noch Lust dort weiter Kunde zu sein?

HinweisBeachten Sie zur IT-Sicherheit unsere Übersichtsseite mit weiteren Informationen!

Leider nur sehr kurz ist der Beschluss des Amtsgerichts Düsseldorf (39 C 5229/14), der einen solchen modernen, wichtigen Streitfall betrifft: Wie geht man damit um, wenn man einen Dienstleister in Anspruch nimmt, an den man vertraglich gebunden ist und bei den persönliche Daten „gestohlen“ wurden?

Jemand sah hier einen Kündigungsgrund und beantragte Prozesskostenhilfe – diese wurde verwehrt, weil das Gericht bei einem reinen Entwenden von Stammdaten keinen Kündigungsgrund erkennt:

In dem Schreiben der Beklagten wird mitgeteilt, dass die Stammdaten von 2 Millionen Kunden ausgespäht wurden, nicht hingegen die Kreditkartendaten, Passwörter, PIN-Nummern, Mobilfunknummer oder Verbindungsdaten.

Die Ausspähung der Stammdaten ist zwar unangenehm, jedoch insgesamt noch nicht von einer Tragweite, dass auf Grund dessen die Kündigung des Vertrages gerechtfertigt wäre. Soweit die Klägerin mit Nichtwissen bestreitet, dass nur die Stammdaten ausgespäht wurden, ist dies unzureichend, denn die Klägerin ist dafür beweispflichtig, dass eine Ausspähung über den im Schreiben der Beklagten vom 11.09.2013 genannten Umfang hinaus stattgefunden hat. Dass sich ein konkreter Schaden durch den Datendiebstahl bei der Klägerin realisiert hat, dass also Dritte von gestohlenen Daten zu Lasten der Klägerin tatsächlich Gebrauch gemacht haben, ist ebenfalls nicht dargetan.

Die Entscheidung liest sich schlüssig, ist aber kurzsichtig und vollkommen lebensfremd. Zum einen ist es schon geradezu unverschämt, darauf hinzuweisen, dass ja gar kein Schaden eingetreten ist, dabei liegt es beim Identitätsdiebstahl in der Natur der Sache, dass mit dem akuten Verwenden der entwendeten Daten ohnehin nichts mehr zu retten ist. Abgesehen davon, dass eine Persönlichkeitsrechtsverletzung vorliegen dürfte.

Letztlich aber ist in der heutigen Zeit mit validen Stammdaten ein erhebliches Schädigungspotential vorhanden, schon um zumindest erleichtert Fake-Accounts auf wirtschaftlich bedeutsamen Plattformen wie etwa zu erzeugen und zu Lasten des Betroffenen betrügerische Aktivitäten zu entfalten. Ich sehe durchaus einen Kündigungsgrund, wenn ein Dienstleister Stammdaten unzureichend gesichert haben sollte, zumal durch das IT-Sicherheitsgesetz dies inzwischen gesetzlich verankerte Pflicht ist. Bedauerlich, dass das Gericht hier derart mutlos und unerfahren agiert hat.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.