Der Bundesgerichtshof (BGH) hat am 18. November 2024 entschieden, dass Betroffene Anspruch auf Schadensersatz haben können, selbst wenn es nur um den zeitweiligen Verlust der Kontrolle über ihre personenbezogenen Daten geht. Diese richtungsweisende Entscheidung hilft Unternehmen und Behörden, die Kosten für angemessene Risikovorsorge besser zu kalkulieren und entsprechende Maßnahmen wirtschaftlich zu planen.
Was ist passiert?
Kriminelle nutzten eine Freundesuche-Funktion auf Facebook aus, um persönliche Daten von etwa 533 Millionen Nutzern aus 106 Ländern zu stehlen. Zu den entwendeten Informationen zählten unter anderem Nutzer-IDs, Namen, Geschlechter, Länder und Telefonnummern. Diese Daten wurden im April 2021 im Darknet veröffentlicht. Die Täter generierten zufällige Telefonnummern, um versteckte Profile zu identifizieren und deren Daten zu extrahieren. In Deutschland waren rund sieben Millionen Nutzer betroffen. Mehrere Hunderttausend davon haben sich anwaltlich vertreten lassen, um Schadensersatzansprüche geltend zu machen.
Welche Schadenshöhe ist zu erwarten?
Der BGH hat in seinem Urteil eine Orientierung zur Schadenshöhe gegeben. Für einfache Fälle, in denen lediglich ein zeitlich begrenzter Kontrollverlust über personenbezogene Daten vorliegt, hat der BGH 100 € Schadensersatz pro betroffener Person festgelegt. Zusätzlich sind mindestens 100 € pro Fall für die Kosten des gegnerischen Rechtsbeistands zu berücksichtigen.
Welche Eintrittswahrscheinlichkeiten sind realistisch?
Für die Risikoanalyse müssen mehrere Faktoren berücksichtigt werden:
- Wahrscheinlichkeit einer Fehlkonfiguration:
Die Wahrscheinlichkeit, dass es durch Schwachstellen im System, menschliches Versagen oder unzureichende Sicherheitsprüfungen zu einer Fehlkonfiguration kommt, wird auf etwa 10 % geschätzt. Solche Fehlkonfigurationen können zu einem Kontrollverlust über personenbezogene Daten führen.
- Durchsetzungswahrscheinlichkeit der Ansprüche:
Erfahrungen aus dem Facebook-Fall zeigen, dass etwa 30 % der Betroffenen bereit sind, ihre Ansprüche geltend zu machen. Dies wird zunehmend durch Dienstleister erleichtert, die sich auf die Abwicklung von Massenverfahren spezialisiert haben.
Beispiel zur Berechnung von Risiken:
Eine Gemeinde betreibt ein Kita-Portal. Aufgrund einer fehlerhaften Konfiguration werden die Profile der Eltern sowie Namen und Alter der Kinder öffentlich einsehbar.
Angenommen, in der Gemeinde gibt es 1.000 Eltern und 1.000 Kinder im Kita-Alter. Daraus ergeben sich folgende Kostenrisiken:
- Anzahl der Betroffenen: 2.000 Personen
- Eintrittswahrscheinlichkeit für eine Fehlkonfiguration: 10 %
- Durchsetzungswahrscheinlichkeit der Betroffenen: 30 %
- Schadensersatz und Rechtsbeistandskosten pro Fall: 200 € (100 € Schadensersatz + 100 € Rechtsverfolgungskosten)
Ergebnis:
2.000 Betroffene × 10 % (Fehlkonfiguration) × 30 % (Durchsetzung) × 200 € = 12.000 € potenzieller Risikowert
Fazit für die Risikobehandlung:
Um solche Schäden zu vermeiden, könnten Präventionsmaßnahmen wie regelmäßige Sicherheitsprüfungen vor der Veröffentlichung eines Portals sowie nach jedem Update durchgeführt werden. Darüber hinaus sollten Sicherheitsinformationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und gegebenenfalls das bayerische Landesamt für Sicherheit in der Informationstechnik (LSI) rasch ausgewertet und berücksichtigt werden. Durch diese Maßnahmen kann die Eintrittswahrscheinlichkeit einer Fehlkonfiguration von 10 % auf 5 % reduziert werden. Selbst bei einer Fünfjahresbetrachtung wären die Kosten für diese Sicherheitsmaßnahmen in der Regel deutlich niedriger als die potenziellen Schadenssummen.Gleichzeitig zeigt sich, dass übermäßig umfassende Schutzmaßnahmen wirtschaftlich nicht immer sinnvoll sind. Dennoch ist klar: Fehlender Datenschutz und mangelnde Informationssicherheit stellen keine lohnenswerte Strategie dar.
Wie Insidas Sie unterstützen kann:
Die Insidas begleitet Sie von Anfang an und berät Sie umfassend in den Bereichen Datenschutz und Informationssicherheit. Gemeinsam entwickeln wir Lösungen, die risikobasiert, wirtschaftlich und praxistauglich sind. So minimieren Sie Risiken und bleiben rechtlich auf der sicheren Seite.
Quellen: Grafik: https://unsplash.com/de
