Datenklau: Sicherheitsleck bei Dienstleister ist kein Kündigungsgrund

Rechtsanwalt & Fachanwalt für Informationstechnologierecht Jens Ferner: Ihr Anwalt in Alsdorf für die Region Aachen, Heinsberg & Düren im gesamten IT-Recht & Datenschutzrecht. Zu meiner Kerntätigkeit gehören als Fachanwalt für IT-Recht das Softwarerecht, Domainrecht, IT-Vertragsrecht, sowie mit Bezügen zur IT das Urheberrecht und Markenrecht.

Besprechungstermin vereinbaren: 02404-92100 | Anwalt für IT-Recht

Beachten Sie, dass wir ausnahmslos keine Beratung per Mail anbieten und dass wir nicht tätig sind, wenn sich Gerichtsstand oder Auftraggeber ausserhalb der Regionen Aachen, Heinsberg, Düren, Düsseldorf oder Köln befinden.

Stellen Sie sich vor, Sie sind Kunde bei einer Fitnesskette oder nutzen ein Online-Angebot und werden informiert, dass Ihre Daten durch einen Hackerangriff gestohlen wurden – haben Sie noch Lust dort weiter Kunde zu sein?

HinweisBeachten Sie zur IT-Sicherheit unsere Übersichtsseite mit weiteren Informationen!

Leider nur sehr kurz ist der Beschluss des Amtsgerichts Düsseldorf (39 C 5229/14), der einen solchen modernen, wichtigen Streitfall betrifft: Wie geht man damit um, wenn man einen Dienstleister in Anspruch nimmt, an den man vertraglich gebunden ist und bei den persönliche Daten „gestohlen“ wurden?

Jemand sah hier einen Kündigungsgrund und beantragte Prozesskostenhilfe – diese wurde verwehrt, weil das Gericht bei einem reinen Entwenden von Stammdaten keinen Kündigungsgrund erkennt:

In dem Schreiben der Beklagten wird mitgeteilt, dass die Stammdaten von 2 Millionen Kunden ausgespäht wurden, nicht hingegen die Kreditkartendaten, Passwörter, PIN-Nummern, Mobilfunknummer oder Verbindungsdaten.

Die Ausspähung der Stammdaten ist zwar unangenehm, jedoch insgesamt noch nicht von einer Tragweite, dass auf Grund dessen die Kündigung des Vertrages gerechtfertigt wäre. Soweit die Klägerin mit Nichtwissen bestreitet, dass nur die Stammdaten ausgespäht wurden, ist dies unzureichend, denn die Klägerin ist dafür beweispflichtig, dass eine Ausspähung über den im Schreiben der Beklagten vom 11.09.2013 genannten Umfang hinaus stattgefunden hat. Dass sich ein konkreter Schaden durch den Datendiebstahl bei der Klägerin realisiert hat, dass also Dritte von gestohlenen Daten zu Lasten der Klägerin tatsächlich Gebrauch gemacht haben, ist ebenfalls nicht dargetan.

Die Entscheidung liest sich schlüssig, ist aber kurzsichtig und vollkommen lebensfremd. Zum einen ist es schon geradezu unverschämt, darauf hinzuweisen, dass ja gar kein Schaden eingetreten ist, dabei liegt es beim Identitätsdiebstahl in der Natur der Sache, dass mit dem akuten Verwenden der entwendeten Daten ohnehin nichts mehr zu retten ist. Abgesehen davon, dass eine Persönlichkeitsrechtsverletzung vorliegen dürfte.

Letztlich aber ist in der heutigen Zeit mit validen Stammdaten ein erhebliches Schädigungspotential vorhanden, schon um zumindest erleichtert Fake-Accounts auf wirtschaftlich bedeutsamen Plattformen wie etwa eBay zu erzeugen und zu Lasten des Betroffenen betrügerische Aktivitäten zu entfalten. Ich sehe durchaus einen Kündigungsgrund, wenn ein Dienstleister Stammdaten unzureichend gesichert haben sollte, zumal durch das IT-Sicherheitsgesetz dies inzwischen gesetzlich verankerte Pflicht ist. Bedauerlich, dass das Gericht hier derart mutlos und unerfahren agiert hat.