Update vom 17. November 2023
Seit unserem letzten Update sind einige Monate vergangen, in denen wir erfolgreich für die Durchsetzung Ihrer Rechte gekämpft haben.
Was ist in der Zwischenzeit geschehen?
Wir konnten zwei weitere Prozesse für die Geschädigten gewinnen, in denen das Landgericht München 1.500 Euro und das Amtsgericht Frankfurt 500 Euro Schadenersatz zugesprochen haben. In allen von der EuGD unterstützten Fällen wurde somit Schadenersatz gewährt.
Dies betrachten wir als bedeutenden Erfolg, insbesondere da es in ähnlich gelagerten Fällen nicht von uns unterstützter Betroffener zu keiner Schadenersatzzahlung kam.
Unser Engagement geht weiter: Weitere Prozesse sind beim Landgericht München anhängig, ebenso wie Berufungsverfahren beim Landgericht Frankfurt und dem Oberlandesgericht München. Hier erwarten wir Urteile im Frühjahr bzw. Sommer 2024.
Bei einem Verfahren vor dem Gericht der Europäischen Union (EuG), welches von Spirit Legal begleitet wird, gab es Mitte Oktober eine mündliche Verhandlung. Ein zentrales Thema dabei war auch die Berechnung und Höhe von Schadenersatz bei Datenschutzverletzungen. Wir erwarten hier Anfang 2024 ein Urteil, das anderen Gerichten Anhaltspunkte für die Berechnung der Höhe des Schadenersatzes geben kann.
Ende Oktober hat sich der Generalanwalt des Europäischen Gerichtshof zu der Frage des Schadens im Fall dieses Datenlecks geäußert. Der Generalanwalt kommt dabei zu folgendem Ergebnis:
„Der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Straftäter kann zu einem Anspruch auf immateriellen Schadensersatz führen, wenn der Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und diesem Verstoß erbracht wird. Für die Gewährung eines solchen Schadensersatzes ist es nicht erforderlich, dass der Straftäter die Identität der betroffenen Person angenommen hat, und der Besitz von Daten, die die betroffene Person identifizierbar machen, stellt für sich genommen keinen Identitätsdiebstahl dar.“
Weiter führt der Generalanwalt aus:
„Aus den vorstehenden Erwägungen folgt, dass der Diebstahl personenbezogener Daten zwar keinen Identitätsdiebstahl oder -betrug darstellt, jedoch zur Entstehung eines immateriellen Schadens und zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO führen kann.
Der Nachweis eines immateriellen Schadens kann einfacher zu erbringen sein, wenn festgestellt wird, dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder -betrugs geworden ist. Ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO wegen des Diebstahls personenbezogener Daten hängt jedoch nicht vom Vorliegen eines Identitätsdiebstahls oder -betrugs ab.“
Das Urteil in diesem Verfahren, welches auf die Empfehlung des Generalanwalts folgt, erwarten wir Anfang 2024. Basierend auf den Ausführungen des Generalanwalts sind wir zuversichtlich, dass der EuGH diesen Ausführungen folgt, womit ab Anfang 2024 regelmäßig nur noch die konkrete Höhe des Schadenersatzes offen ist.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat den Fall nach wie vor nicht abgeschlossen, jedoch sind wir mit der Behörde im Austausch. Wir vermuten einen Abschluss im Laufe der nächsten Monate. Womöglich werden dabei auch ein oder mehrere Datenschutzverstöße festgestellt, die zum Datenleck geführt haben.
Natürlich haben wir auch den direkten Kontakt zu den Anwälten von Scalable Capital, der Kanzlei Freshfields, aufgenommen, um die Möglichkeit eines außergerichtlichen Vergleichs zu erörtern. Bisher gab es keine konkreten Angebote, allerdings wurde angedeutet, dass ein potenzieller Vergleichsbetrag maximal im untersten dreistelligen Bereich liegen würde. Angesichts der rechtskräftigen Urteile, die zwischen 1.200 und 2.500 Euro festlegen, erscheint uns ein solcher Betrag als inadäquat und eher als Versuch, die Betroffenen unter Wert abzuspeisen.
Wir legen Wert auf Transparenz, daher möchten wir Sie über ein wichtiges Detail bezüglich der möglichen Verjährung der Ansprüche informieren:
Es besteht die Möglichkeit, dass manche Schadensersatzansprüche gegen Scalable Capital aus dem Datenleck von Ende 2020 bis Ende des Jahres 2023 verjähren könnten.
Um dies zu vermeiden, wären verjährungshemmende Maßnahmen erforderlich. EuGD wird solche Maßnahmen nicht für Sie ergreifen.
Ihre Handlungsoptionen werden weiter unten aufgeführt.
Unsere unverbindliche Einschätzung, die Ihren Einzelfall nicht betrifft: Für eine Verjährung müsste man im Jahr 2020, dem Zeitpunkt des Datenlecks, gewusst haben, dass das Datenleck auf einen Verstoß gegen die DSGVO durch Scalable zurückzuführen ist. Denn ohne einen solchen Verstoß bestünde kein Anspruch auf Schadenersatz, und man hätte diesen folglich auch nicht geltend machen können. Es erscheint uns zwar möglich, aber unwahrscheinlich, dass Gerichte bereits das Datenleck selbst oder die E-Mail an die Betroffenen vom Oktober 2020, in der Scalable noch jede Verantwortung abstritt, als hinreichenden Indikator für einen Verstoß werten und die Ansprüche somit bereits zum 31.12.2023 als verjährt betrachten könnten.
Mehrere von uns konsultierte Rechtsexperten bewerten das Risiko einer Verjährung als eher gering. Es wäre nicht im Sinne des Gesetzes und der Ziele der DSGVO, wenn Betroffene ohne fundierte Kenntnis eines Verstoßes Klage erheben müssten, insbesondere wenn der Verstoß selbst nach Jahren weder von einer Aufsichtsbehörde festgestellt noch rechtskräftig entschieden, noch von Scalable Capital eingeräumt wurde. Trotzdem möchten wir Sie auf das potenzielle Risiko einer Verjährung hinweisen.
Wie geht es weiter?
Angesichts des oben diskutierten Verjährungsrisikos stehen Ihnen drei Handlungsoptionen zur Verfügung:
- Vertragsauflösung:
Sie können den Vertrag mit EuGD kündigen und Ihre Ansprüche selbstständig geltend machen. Hierzu sollten Sie sich direkt oder über einen Rechtsanwalt an Scalable Capital wenden. Dabei sollten Sie die Hinweise zur Verjährung beachten. In diesem Fall würden wir den Vertrag mit Ihnen beenden und auf jegliche Vergütung verzichten. Dieses Angebot ist bis zum 01.12.2023 gültig. Bitte treten Sie für weitere Schritte mit uns in Kontakt, vorzugsweise per E-Mail an hilfe (at) eugd . org.
- Individuelle Durchsetzung über Ihre Rechtsschutzversicherung, wobei EuGD die Selbstbeteiligung übernimmt:
Wir haben mit der Kanzlei Dr. Stoll & Sauer, einer renommierten Verbraucherschutzkanzlei, eine Vereinbarung getroffen. Sollte Ihre Rechtsschutzversicherung eine Deckungszusage erteilen, können Sie ohne Kostenrisiko gegen Scalable Capital vorgehen. EuGD übernimmt in diesem Fall Ihre Selbstbeteiligung bis zu einem Betrag von 250 EUR. Da die Deckungszusagen einige Zeit in Anspruch nehmen können, empfehlen wir Ihnen, bei Interesse an dieser Option das folgende Formular bis spätestens zum 30. November zu übermitteln:
https://eugd.org/schadenersatz/scalable-capital-rechtschutzversicherung/
- Verbandsklage in Kooperation mit einer Verbraucherschutzorganisation:
Wir befinden uns in Gesprächen mit Verbraucherschutzorganisationen, darunter noyb unter der Leitung von Max Schrems, um eine Verbandsklage in Deutschland anzustrengen. Der Gesetzgeber hat für die notwendigen Regelungen mehr Zeit benötigt als erwartet, weshalb eine Klage nicht mehr im Jahr 2023 eingereicht werden kann. Wir sind jedoch zuversichtlich, im Jahr 2024 in Zusammenarbeit mit einem klagebefugten Verband eine solche Klage einzureichen.
- Weiteres Vorgehen durch EuGD:
Wir sind weiterhin der Überzeugung, dass die Betroffenen des Datenlecks einen Anspruch auf Schadenersatz haben und dass dieser aufgrund der Art der betroffenen Daten im oberen dreistelligen Euro-Bereich liegen sollte. Wir werden die laufenden Verfahren vorantreiben und streben an, in allen Verfahren weiterhin rechtskräftig Schadenersatz zugesprochen zu bekommen. Mögliche Vergleichsverhandlungen würden wir nur führen, wenn die Höhe des Schadenersatzes dem Durchschnittsschaden eines jeden Betroffenen entspricht. In den kommenden Wochen und Anfang 2024 werden wir weitere Klagen einreichen, in denen wir sowohl immateriellen als auch materiellen Schadenersatz fordern werden. Es ist offensichtlich, dass die von Scalable Capital durchgeführte und kommunizierte Aufklärung nicht ausreichend ist, um das Risiko für die Betroffenen abschätzen zu können.
Wir planen zudem, mehrere Cybersecurity-Experten hinzuzuziehen, die nach den gestohlenen Datensätzen suchen, deren Verbreitung dokumentieren und die Inhalte analysieren werden. Nur so lässt sich Klarheit über die möglichen Konsequenzen schaffen, über die Scalable Sie bisher völlig im Dunkeln gelassen hat.
Wir sind zuversichtlich und bleiben fest entschlossen, dass Scalable Capital die Verantwortung für den unsachgemäßen Umgang mit Ihren Daten und die daraus folgenden Konsequenzen tragen wird. Es ist unser stetiges Bestreben, Ihre Interessen zu vertreten und für Ihr Recht auf angemessenen Schadenersatz einzutreten. Wir freuen uns darauf, Sie auf diesem Weg weiterhin zu unterstützen und positive Ergebnisse zu erzielen.