von Christian Kirchner, 2. November 2023
Stimmt schon. In der jüngsten Datenaffäre der deutschen Kreditwirtschaft stehen weniger die involvierten Banken im Fokus – konkret: Deutsche Bank, Commerzbank und ING Diba. Sondern ihr gemeinsamer Dienstleister, die Bertelsmann-Tochter Majorel („Kontowechsel24“). Denn, nur nochmal zur Erinnerung: Die sensiblen Kundendaten (Vorname, Nachname, IBAN), die später teilweise im Darknet auftauchten, wurden bei Majorel entwendet. Nicht bei den Banken. Weshalb die Deutsche Bank inzwischen sogar einen Wirtschaftsprüfer beauftragt hat, die Vorfälle bei Majorel in ihrem Namen zu untersuchen.
Gleichwohl gilt (und damit kommen wir so langsam zu unserem heutigen Thema): Die betroffenen Endkunden waren zweifellos Kunden der Deutschen Bank, der Commerzbank oder der ING Diba. Und nicht die Kunden von Majorel. Weshalb aus laienjuristischer Sicht das gilt, was auf den berühmten „Betreten der Baustelle verboten“-Schildern meist auch steht: Eltern haften für ihre Kinder. Das würde hier heißen: Banken haften für ihre Dienstleister. Heißt weiter: Sollten sich Kunden durch das Datenleck dermaßen geschädigt fühlen, dass sie meinen, ihnen stehe eine finanzielle Entschädigung zu, dann werden sie ihre Ansprüche im Zweifel nicht an Majorel stellen – sondern an ihre jeweilige Bank. Und das kann für die Institute potenziell teuer werden. Zumal in diesem Fall mit einer angeblich sechsstelligen Zahl betroffener Kunden.
Womit wir nun endgültig bei unserem heutigen Thema sind. Denn das, was wir im Fall der drei Banken bis hierhin theoretisch durchdekliniert haben, hat der Münchener Neobroker Scalable Capital nach seinem schweren Datenraub vor drei Jahren am eigenen Leibe erlebt. Und darum dürfte der dieser Tage ergangene Schlussantrag des EuGH-Generalanwalts in der „Causa Scalable“ die deutsche Finanzwirtschaft (weitgehend) aufatmen lassen.
Hier die Details – und warum trotz allem noch Unsicherheiten bleiben:
Hintergrund des nun bei dem EuGH gelandeten Verfahrens ist ein Datendiebstahl bei Scalable im Jahr 2020. Die Zahl der Betroffenen: angeblich rund 30.000. Die Daten wie Name, Anschrift, Ausweisdaten, Konto- und Depotinformationen sowie steuerliche Daten landeten bei unbekannten Dritten.
Bislang sind – wie auch aus dem Antrag des EuGH-Generalanwalts hervorgeht – die Daten nicht zu betrügerischen Zwecken verwendet worden. Dennoch zerrten Kläger Scalable für die Panne vor Gericht. Teils mit Erfolg:
Dass der ganze Vorgang und die juristische Aufarbeitung Scalable Capital höchst unangenehm ist, ist nun auch aktenkundig: Nachdem der Vorgang beim Europäischen Gerichtshof gelandet war, beantragte Scalable Capital, das Verfahren zu anonymisieren. Dieses Ansinnen lehnte der Präsident des Gerichtshofs indes im Juni 2022 ab.
–––––––––––––––––––
Laut dem Schlussantrag des Generalanwalts soll ein Datendiebstahl von Kundendaten alleine nicht ausreichen, um einen Schadensersatz zu begründen, solange es – wie es in der Würdigung des Falls heißt – nur um einen „potenziellen oder hypothetischen Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten“ geht (deutscher Originaltext siehe hier).
Der EuGH kann dem Antrag von Generalanwalt Anthony Collins folgen, muss dies aber nicht. Doch die Wahrscheinlichkeit ist hoch: Zum einen ist es die Regel, dass das Gericht die Einschätzungen des Generalanwalts übernimmt. Zum anderen hatte der EuGH im Frühjahr in einem anderen Zusammenhang zwar geurteilt, dass das Überschreiten einer Erheblichkeitsschwelle nicht Voraussetzung für Schadensersatz ist, sondern alle Schäden ersetzt werden müssen. Schon damals aber hatte er auch argumentiert: Reines Unwohlsein allein reicht nicht aus, um Schadensersatz geltend machen zu können.
Scalable Capital fühlt sich durch den Schlussantrag des EuGH-Generalanwalts bestätigt. Die Einlassungen stünden „im Einklang mit der überzeugenden Auffassung der überwältigenden Mehrheit der deutschen Gerichte, die zunehmend Schadensersatzklagen wegen angeblicher immaterieller Schäden im Zusammenhang mit Datenpannen abweisen und klarstellen, dass der Schaden in jedem Einzelfall nachgewiesen werden muss“, heißt es in einer Stellungnahme des Münchner Fintechs.
Damit zielt Scalable auf Versuche, an dieser Datenpanne ein Exempel zu statuieren und selbst dann Schadensersatz geltend zu machen, wenn der Abfluss kundenbezogener Daten gar nicht zu materiellem Schaden geführt hat. Die Datenschutz-Grundverordnung (DSGVO) besagt indes, dass ein Datendiebstahl durchaus auch einen immateriellen Schaden nach sich ziehen kann, für die eventuell Schadensersatz gewährt werden könnte. Dazu zählen etwa abstrakt der erlittene Schmerz und durch den Vorfall drohende wirtschaftliche oder gesellschaftliche Nachteile.
Dieses Problem war auch ursächlich dafür, dass das für die anhängigen zwei Fälle zuständige Amtsgericht München – die Tragweite erkennend – den EuGH in einem Vorabentscheidungs-Ersuchen anrief, die im Raum stehenden Fragen grundsätzlich zu klären: Wie genau soll eigentlich das Thema „immaterieller Schadensersatzanspruch“ ausgelegt werden? Und vor allem: Liegt schon ein „Identitätsdiebstahl“ im Sinne der DSGVO vor, wenn Straftäter über Daten verfügen, die die Betroffenen identifizierbar machen?
Hier nun wird es kniffliger, als es Scalable Capital recht sein kann – genauso wie den deutschen Banken, die mit ihrem Dienstleister Majorel gerade einen durchaus vergleichbaren Fall erlebt haben. Deshalb sollte eher von einem „Teilsieg“ für Scalable gesprochen werden.
––––––––––––––––––––
Der Generalanwalt stellt in seinem Antrag vom 26. Oktober zwar fest:
„Der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Straftäter kann zu einem Anspruch auf immateriellen Schadensersatz führen, wenn der Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und diesem Verstoß erbracht wird“.
Er schreibt aber auch:
„Für die Gewährung eines solchen Schadensersatzes ist es nicht erforderlich, dass der Straftäter die Identität der betroffenen Person angenommen hat, und der Besitz von Daten, die die betroffene Person identifizierbar machen, stellt für sich genommen keinen Identitätsdiebstahl dar“.
Diese zweite Passage könnte Scalable und der deutschen Finanzbranche noch Kopfzerbrechen bereiten. Denn während der Generalanwalt den Unternehmen grundsätzlich zubilligt, dass tatsächlich ein konkreter Schaden vorliegen muss, damit Kunden von ihnen Schadenersatz fordern können (konkret ist in der Würdigung die Rede von „eindeutigen und präzisen Beweisen“), versagt er ihnen die Vorstellung, dass zwingend auch ein Identitätsdiebstahl vorliegen muss, damit ein Opfer ein Unternehmen in Haftung für erlittene Schäden nehmen kann. Sprich: Im Fall einer Panne kann schon der Abfluss von Daten reichen, um zu Zahlungen verpflichtet zu werden. Sofern ein Opfer den Nachweis erbringen kann, dass ihm wegen eines Verstoßes gegen die DSGVO ein konkret erlittener Schaden entstanden ist und ein Kausalzusammenhang zwischen diesem Schaden und diesem Verstoß besteht, kann es mit guten Aussichten auf Erfolg auf Schadensersatz klagen.
„Schon das Risiko eines Identitätsdiebstahls {wäre} ein hinreichendes Argument auf dem Weg zu einem mit mehr als 0 Euro zu beziffernden Schadensersatzes für alle betroffenen Kunden“, urteilt Jens Ferner, Fachanwalt für IT- und Strafrecht, in einem Blogbeitrag.
Laut Collins‘ Antrag stellt der Diebstahl personenbezogener Daten an sich zwar noch keinen Identitätsdiebstahl oder -betrug dar, doch auch ohne das könne er einen immateriellen Schaden verursachen, der einen Anspruch auf Schadensersatz begründe. Der Nachweis eines immateriellen Schadens, so der Generalanwalt, sei zwar leichter zu erbringen, wenn nachgewiesen werde, „dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder -betrugs geworden ist“, doch zwingend nötig sei das nicht – ein Anspruch auf Schadenersatz hänge nicht davon ab, dass ein Identitätsdiebstahl oder -betrug vorliege.
––––––––––––––––––
Sowohl Scalable Capital als auch die deutsche Bankenbranche dürften nun mit Spannung auf das finale Urteil des EuGH warten, ist doch davon auszugehen, dass es über den konkreten Fall von 2020 hinaus Signalwirkung haben dürfte. Denn längst sind Datenpannen in der Finanzbranche „gelebter Alltag“. So gab es im Juni einen Cyberangriff mit massivem Datenabfluss bei der Deutschen Leasing (siehe hier). Und von der sogenannten „Majorel“-Panne, in der die Daten von Kontowechslern geklaut wurden und inzwischen sogar schon im Darknet aufgetaucht sind (siehe hier), ist – wie eingangs erwähnt – gleich eine Reihe von prominenten Banken betroffen.
Das Muster in solchen Fällen ähnelt sich meist: Die Wahrheit kommt nur tröpfchenweise ans Licht, und die angeschriebenen Betroffenen sollen sich bei Problemen an eine angegebene Email-Adresse wenden. Stets geht es den Finanzhäusern darum, Klagen von Kunden möglichst abzuwenden und keinerlei Entschädigung zahlen zu müssen. Andernfalls könnte es teuer werden. So spricht im „Majorel“-Fall allein die ING Diba von einer „niedrigen fünfstelligen Zahl“ betroffener Kunden. Wie viele Kunden darüber hinaus bei Deutsche Bank und Commerzbank betroffen sind, ist bislang nicht bekannt, doch inzwischen ist in der Szene von einer insgesamt sechsstelligen Zahl an Kunden zu hören.
Wann der EuGH das Urteil im Fall Scalable Capital fällt, ist nicht bekannt.
Die Artikel von Finanz-Szene sind urheberrechtlich geschützt und nur für den jeweiligen Premium-Abonnenten persönlich bestimmt. Die Weitergabe – auch an Kollegen – ist nicht gestattet. Wie Sie Inhalte rechtssicher teilen können (z.B. via Pressespiegel), erfahren Sie hier.
Danke für Ihr Verständnis. Durch Ihr Abonnement sichern Sie ein Stück Journalismus!