Das LG Köln (Urt. v. 18.05.2022, Az. 28 O 328/21) hat entschieden, das ein Unternehmen, das nach dem Wechsel des IT-Dienstleister die Zugangsdaten zu seinem System nicht ändert, gegen Art. 32 (Sicherheit der Verarbeitung) und Art. 5 Abs. 1 lit. f DSGVO (Sicherstellung eines angemessenen Sicherheitsniveau für die Verarbeitung von Daten) verstößt.
In dem konkreten Fall ging es um ein Unternehmen, welches Wertpapierdienstleistungen erbringt und den Kunden den Zugriff auf ein persönliches Dokumentenpostfach ermöglichte. Auf dieses Dokumentenpostfach konnten Hacker Zugriff erlangen, nachdem sie die Zugangsdaten durch einen Cyber-Angriff auf den ehemaligen IT-Dienstleister der Beklagten erbeuteten. Das Vertragsverhältnis zu dem IT-Dienstleister war bereits 2015 ausgelaufen. Eine Änderung des Passworts erfolgte seitdem nicht.
Die Beklagte wurde zu einem Schadenersatz von 1.200 € verurteilt.
Das Gericht hat es für ausreichend angesehen, dass das Versäumnis der Passwortänderung zumindest mitursächlich war. Der Nachweis, dass das nicht geänderte Passwort den Schaden alleine verursacht hat, war also nicht erforderlich. Bei der Schadensbemessung wurde berücksichtigt, dass die Daten in dem Dokumentenpostfach noch nicht missbraucht worden sind. Das Urteil zeigt wieder, dass es noch nicht zu einem Datenmissbrauch gekommen sein muss, um schadensersatzpflichtig zu werden.