Die DS-GVO verpflichtet Verantwortliche dazu, bei der Verarbeitung personenbezogener Daten eine angemessene Sicherheit zu gewährleisten und hierzu geeignete technische und organisatorische Maßnahmen zu treffen. Die schließt die Verpflichtung des Verantwortlichen ein, nach dem Wechsel eines Dienstleisters Maßnahmen zum Schutz derjenigen personenbezogenen Daten zu ergreifen, auf die der ehemalige Dienstleister Zugriff hatte. Sind dem ehemaligen Dienstleister bspw. die Zugangsdaten zu digitalen Kundenkonten bekannt, müssen diese Zugangsdaten geändert werden. Auch muss der Verantwortliche überprüfen, ob der ehemalige Dienstleister die Zugangsdaten dauerhaft und vollständig gelöscht hat.

Geschieht dies nicht und erfolgt über den ehemaligen Dienstleister (bspw. über einen Hacker-Angriff) ein unbefugter Zugriff auf die Kundenkonten und die darin gespeicherten personenbezogenen Daten, begründet dieser Datenschutzverstoß nach Auffassung des LG Köln einen immateriellen Schadensersatzanspruch (LG Köln, Urteil vom 18. Mai 2022 – 28 O 328/21 –: Anspruch i. H. v. 1.200 €).

Bei Rückfragen: RA Patrick Steinhausen, LL.M. (steinhausen@heimes-mueller.de)