Schadensersatz für die Ermittlung eines „Datendiebs“

Das Ausspähen von sensiblen Firmendaten ist für ein Unternehmen meist ein Horrorszenario, je nach dem wofür der „Datendieb“ die Daten verwendet. Stellt ein Unternehmen das Ausspähen von Daten über einen längeren Zeitraum fest, so hat es selbstverständlich ein Interesse daran, dem Übeltäter so schnell wie möglich das Handwerk zu legen. Wenn in diesem Zusammenhang ein privates Unternehmen neben den öffentlichen Behörden mit den Ermittlungen beauftragt wird, so sind diese Kosten nach dem Urteil des OLG Celle vom 22.12.2010  (Az. 7 U 49/09) erstattungsfähig.

 

Im vorliegenden Fall vermittelte die Klägerin Finanzprodukte; zu diesem Zweck stellte sie den selbstständigen Handelsvertretern im Internet eine Finanzierungsplattform zur Verfügung, wobei der Zugriff durch eine Passwortabfrage gesichert war.
Der Beklagte, der von Ende 2001 bis 31.11.2002 als selbstständiger Handelsvertreter bei der Klägerin tätig gewesen ist, hat am 9./10.9.2005 über den in seinem Haushalt befindlichen PC unberechtigt auf den Webserver der Klägerin zugegriffen und vertrauliche Kundendaten ausgespäht. Anschließend hat er am 28.9.2005 unter dem Pseudonym „Hans” in einem Internetforum einen Beitrag mit der Überschrift „… Private Kundendaten im Internet einsehbar” eingestellt. Schließlich ist von dem PC des Beklagten am 1.10.2005 eine E-Mail versandt worden, in der mitgeteilt worden ist, wie die Daten bei der Klägerin ausgespäht werden könnten, wobei der E-Mail eine Datei mit Kundendaten beigefügt gewesen ist.

 

Nachdem die Klägerin davon Kenntnis erlangte, erstattete sie Strafanzeige, und schaltete ein privates Ermittlungsunternehmen ein, das eine computer-forensische Analyse erstelle. Der Klägerin sind dafür Kosten i.H.v. € 7.350,– netto angefallen, die Sie von dem Beklagten erstattet verlangte.

 

Das Gericht gab der Klägerin diesbezüglich recht.  Der Beklagte habe für sich und andere unbefugt besonders gesicherte Daten der Klägerin ausgespäht und dadurch den Straftatbestand des § 202a StGB, der ein Schutzgesetz i.S.d. § 823 Absatz 2 BGB ist, schuldhaft verwirklicht. Durch das Datenausspähen habe die Klägerin zwar unstreitig keinen unmittelbaren Vermögensnachteil erlitten. Ihr seien aber durch die unerlaubte Handlung des Beklagten Aufwendungen entstanden, die sie teilweise als mittelbarer Schaden von dem Beklagten erstattet verlangen könne.

 

Bei den Aufwendungen der Klägerin i.H.v. € 7.350,– netto, die für die computer-forensische Analyse angefallen sind, handele es sich nicht um Kosten der Strafverfolgung, sondern um einen mittelbaren Schaden, der hier als sog. Herausforderungsschaden erstattungsfähig sei.

 

Fazit: Primär sollte natürlich versucht werden, die unternehmenseigenen Systeme gegen ein Ausspähen von Daten effektiv zu schützen. Vorliegend konnte sich ein ehemaliger Mitarbeiter der der Klägerin etwa drei Jahre nach seinem Ausscheiden noch immer auf die durch ein Passwort gesicherte Finanzierungsplattform der Klägerin zugreifen. Aus welchen Gründen dies möglich war – ob das Benutzerpasswort nicht gelöscht wurde, oder ob es gar ein universelles Passwort gab, das nicht geändert wurde – wird in dem Urteil nicht erörtert. Es ist jedoch davon auszugehen, dass die Klägerin hier eine eklatante Sicherheitslücke hatte.

Sind die Daten erst einmal ausgespäht, ist ein Schaden in der Regel nicht mehr zu vermeiden. Es ist jedoch hilfreich zu wissen, dass Unternehmen in einem solchen Fall zumindest die privaten Ermittlungskosten als Schadensersatz geltend machen können – vorausgesetzt natürlich, der „Datendieb“ konnte überhaupt gefasst werden.