Der Bundesgerichtshof (BGH) hat am 18. November 2024 entschieden, dass Betroffene Anspruch auf Schadensersatz haben können, selbst wenn es nur um den zeitweiligen Verlust der Kontrolle über ihre personenbezogenen Daten geht. Diese richtungsweisende Entscheidung hilft Unternehmen und Behörden, die Kosten für angemessene Risikovorsorge besser zu kalkulieren und entsprechende Maßnahmen wirtschaftlich zu planen.

Was ist passiert?

Kriminelle nutzten eine Freundesuche-Funktion auf Facebook aus, um persönliche Daten von etwa 533 Millionen Nutzern aus 106 Ländern zu stehlen. Zu den entwendeten Informationen zählten unter anderem Nutzer-IDs, Namen, Geschlechter, Länder und Telefonnummern. Diese Daten wurden im April 2021 im Darknet veröffentlicht. Die Täter generierten zufällige Telefonnummern, um versteckte Profile zu identifizieren und deren Daten zu extrahieren. In Deutschland waren rund sieben Millionen Nutzer betroffen. Mehrere Hunderttausend davon haben sich anwaltlich vertreten lassen, um Schadensersatzansprüche geltend zu machen.

Welche Schadenshöhe ist zu erwarten?

Der BGH hat in seinem Urteil eine Orientierung zur Schadenshöhe gegeben. Für einfache Fälle, in denen lediglich ein zeitlich begrenzter Kontrollverlust über personenbezogene Daten vorliegt, hat der BGH 100 € Schadensersatz pro betroffener Person festgelegt. Zusätzlich sind mindestens 100 € pro Fall für die Kosten des gegnerischen Rechtsbeistands zu berücksichtigen.

Welche Eintrittswahrscheinlichkeiten sind realistisch?

Für die Risikoanalyse müssen mehrere Faktoren berücksichtigt werden:

  1. Wahrscheinlichkeit einer Fehlkonfiguration:

Die Wahrscheinlichkeit, dass es durch Schwachstellen im System, menschliches Versagen oder unzureichende Sicherheitsprüfungen zu einer Fehlkonfiguration kommt, wird auf etwa 10 % geschätzt. Solche Fehlkonfigurationen können zu einem Kontrollverlust über personenbezogene Daten führen.

  1. Durchsetzungswahrscheinlichkeit der Ansprüche:

Erfahrungen aus dem Facebook-Fall zeigen, dass etwa 30 % der Betroffenen bereit sind, ihre Ansprüche geltend zu machen. Dies wird zunehmend durch Dienstleister erleichtert, die sich auf die Abwicklung von Massenverfahren spezialisiert haben.

Beispiel zur Berechnung von Risiken:

Eine Gemeinde betreibt ein Kita-Portal. Aufgrund einer fehlerhaften Konfiguration werden die Profile der Eltern sowie Namen und Alter der Kinder öffentlich einsehbar.

Angenommen, in der Gemeinde gibt es 1.000 Eltern und 1.000 Kinder im Kita-Alter. Daraus ergeben sich folgende Kostenrisiken:

  • Anzahl der Betroffenen: 2.000 Personen
  • Eintrittswahrscheinlichkeit für eine Fehlkonfiguration: 10 %
  • Durchsetzungswahrscheinlichkeit der Betroffenen: 30 %
  • Schadensersatz und Rechtsbeistandskosten pro Fall: 200 € (100 € Schadensersatz + 100 € Rechtsverfolgungskosten)

Ergebnis:

2.000 Betroffene × 10 % (Fehlkonfiguration) × 30 % (Durchsetzung) × 200 € = 12.000 € potenzieller Risikowert

Fazit für die Risikobehandlung:

Um solche Schäden zu vermeiden, könnten Präventionsmaßnahmen wie regelmäßige Sicherheitsprüfungen vor der Veröffentlichung eines Portals sowie nach jedem Update durchgeführt werden. Darüber hinaus sollten Sicherheitsinformationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und gegebenenfalls das bayerische Landesamt für Sicherheit in der Informationstechnik (LSI) rasch  ausgewertet und berücksichtigt werden. Durch diese Maßnahmen kann die Eintrittswahrscheinlichkeit einer Fehlkonfiguration von 10 % auf 5 % reduziert werden. Selbst bei einer Fünfjahresbetrachtung wären die Kosten für diese Sicherheitsmaßnahmen in der Regel deutlich niedriger als die potenziellen Schadenssummen.Gleichzeitig zeigt sich, dass übermäßig umfassende Schutzmaßnahmen wirtschaftlich nicht immer sinnvoll sind. Dennoch ist klar: Fehlender Datenschutz und mangelnde Informationssicherheit stellen keine lohnenswerte Strategie dar.

Wie Insidas Sie unterstützen kann:

Die Insidas begleitet Sie von Anfang an und berät Sie umfassend in den Bereichen Datenschutz und Informationssicherheit. Gemeinsam entwickeln wir Lösungen, die risikobasiert, wirtschaftlich und praxistauglich sind. So minimieren Sie Risiken und bleiben rechtlich auf der sicheren Seite.

Quellen: Grafik: https://unsplash.com/de

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Ein ungebrochener Trend und ein Dauerbrennpunkt im Bereich des Datenschutzrechtes ist das Thema Videoüberwachung. Es ist eines der wichtigsten Schwerpunkte in der Arbeit der Datenschutzbehörden und häufiger Gegenstand in datenschutzpolitischen Diskussionen. Was ist...

    read more
    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Einstellung Matomo ermöglicht das Tracking von Webseitenbesucherinnen und -besuchern mittels Cookies oder JavaScript. Auch im Hinblick auf die zunehmende Verbreitung von Schutzmechanismen in Webbrowsern ist ein Tracking per JavaScript dem Tracking durch...

    read more