Wie ist der Fall datenschutzrechtlich einzustufen und was sind die möglichen Folgen?
Hierzu werde ich den Sachverhalt zunächst unter datenschutzrechtlichen Gesichtspunkten analysieren.
Durch die dargestellte Sicherheitslücke war es allen Nutzern, die Zugang zu dem Mieterportal hatten, relativ einfach möglich, theoretisch alle dort gespeicherten personenbezogenen Daten der aktuellen, ebenso wie der ehemaligen Mieter einzusehen und herunterzuladen. Wie viele Datensätze dies tatsächlich waren, entzieht sich meiner Kenntnis. Geht man aber davon aus, dass die LEG diese Datenbank als zentrales Speichermedium für alle laufenden und vormaligen Mietverhältnisse nutzt, dürften weit mehr als 134.000 Datensätze von weit mehr als 360.000 Mietern betroffen gewesen sein. Zwar hätten nur diejenigen aufgrund der Sicherheitslücke Zugriff auf diese Datensätze, die auch bei dem Portal registriert waren, aber auch deren Zahl beläuft sich nach Angaben der LEG auf rund 15.000 Mieter.
LEG in der Pflicht, angemessene Sicherheitsvorkehrungen zu treffen
Die DSGVO fordert in Art. 32 DSGVO, dass der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, ein dem Risiko angemessenes Schutzniveau gewährleisten.
Der Umstand, dass jeder, der Zugang zu dem Mieterportal hatte, mit einfachsten Mitteln, nämlich nur durch Veränderung der in der Adresszeile angegebenen Vertragsnummer, auf die Datensätze anderer Mieter zugreifen konnte, entspricht zweifellos nicht einem angemessenen Schutzniveau. Man braucht nicht einmal besondere Kenntnisse, denn jedem durchschnittlich informierten Nutzer ohne besondere Computerkenntnisse war ohne weiteres erkennbar, dass die Vertragsnummer in der URL das Anzeigekriterium für den entsprechend zugeordneten Datensatz ist. Dies stellte keine dem Stand der Technik entsprechende geeignete technisch-organisatorische Maßnahme (TOM) dar.
Meldepflicht gegenüber der Aufsichtsbehörde
Daraus folgt zunächst, dass eine nach Art. 33 DSGVO meldepflichtige Datenschutzverletzung vorlag. Meldepflichtig ist dabei der Verantwortliche, also die LEG und nicht derjenige, der die Datenschutzverletzung entdeckte, also David Kurz. Diesen trifft grundsätzlich keine Pflicht bei Entdeckung einer solchen Datenschutzverletzung. Er kann, muss aber nicht, den Verantwortlichen informieren, ebenso kann er, aber muss nicht, eine Meldung an die Aufsichtsbehörde machen. Im vorliegenden Fall hat David Kurz, da er den Verantwortlichen – die LEG – zunächst nicht erreichen konnte, die zuständige Aufsichtsbehörde informiert. Da er den Sachverhalt auf verschiedenen Medien selbst veröffentlichte, erlangte der Verantwortliche über diese Medien in recht kurzer Zeit Kenntnis von dem Vorfall, was auch Kurz erfuhr. Hiernach hat Kurz also nichts Falsches und schon gar nichts „Kriminelles“ gemacht. Nach eigener Auskunft hat die LEG den Vorfall ebenfalls an die Aufsichtsbehörde gemeldet und dies wohl auch unverzüglich bzw. innerhalb von 72 Stunden getan, so wie es Art. 33 DSGVO fordert. Somit hat auch die LEG zunächst alles richtig gemacht, wenngleich die Darstellung in dem Brief, man selbst habe die Aufsichtsbehörde informiert, eben nur die „halbe Wahrheit“ ist. Zu diesem Zeitpunkt war die Aufsichtsbehörde bereits von David Kurz informiert worden und darüber hinaus bestand für die LEG eine gesetzliche Verpflichtung, diesen Vorfall der Aufsichtsbehörde zu melden.
Gemäß Art. 77 DSGVO hat jeder Betroffene das Recht, bei der Aufsichtsbehörde Beschwerde einzureichen, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Indem Kurz den Vorfall der Aufsichtsbehörde meldete, nahm er genau dieses Recht wahr.
Informationspflicht gegenüber den Betroffenen
In Art. 34 DSGVO fordert der Gesetzgeber vom Verantwortlichen weiterhin, dass dieser die betroffenen Personen unverzüglich informiert, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Ob ein solches hohes Risiko hier vorliegt, ist nicht ohne weiteres mit der nötigen Sicherheit zu beantworten. Hier müsste eine umfangreiche Risikoanalyse vorgenommen werden, wobei die Anzahl der betroffenen Datensätze, die Datenkategorien, die Eintrittswahrscheinlichkeit eines Missbrauchs – auch vor dem Hintergrund des Zeitraums in der die Sicherheitslücke bestand – und die Missbrauchsintensität in die Bewertung einfließen. Es ist derzeit nicht bekannt, ob es durch diese Lücke auch tatsächlich zu einem Datenleak größeren Ausmaßes gekommen ist. Da ein solcher Datenleak wohl eher unwahrscheinlich ist, lässt sich gut argumentieren, dass ein hohes Risiko im Sinne dieser Vorschrift nicht vorliegt. Im Hinblick auf die große Anzahl der Datensätze und dem damit verbundenen Missbrauchspotenzial gehe ich jedoch eher von einem hohen Risiko aus, denn auf die Realisierung des Risikos kommt es gerade nicht an, entscheidend ist vielmehr die abstrakte Gefahr, die von dem Datenschutzverstoß ausgeht. In diesem Fall hätte die LEG aber alle Betroffenen, also alle ehemaligen und aktuellen Mieter zu informieren, denn die Sicherheitslücke betraf alle Datensätze, nicht nur die 700, die von Kurz heruntergeladen wurden.
Folgen des potenziellen Datenschutzverstoßes
Weitere mögliche Folgen eines solchen Datenschutzverstoßes sind Schadenersatzansprüche der betroffenen Personen nach Art. 82 Abs. 1 DSGVO, bzw. die Haftung der LEG und deren Dienstleister für sonstige durch den Verstoß entstandene Schäden nach Art. 82 Abs. 2 DSGVO. Diese möglichen Folgen spielen zunächst einmal eine untergeordnete Rolle, denn in der Praxis dürften Schäden, so sie denn überhaupt entstanden sind, nur schwer nachzuweisen und noch schwerer zu beziffern sein. Darüber hinaus wissen viele der betroffenen Personen schlichtweg nicht, dass Ihnen derartige Ansprüche zustehen. Nichtsdestotrotz ist der Schadensbegriff weit auszulegen (vgl. ErwGr 146 S. 6) und auch immaterielle Schäden sind gemäß Abs. 1 dieser Vorschrift hiervon umfasst. Außerdem kommen neben Art. 82 Abs. 1 Anspruchsgrundlagen des mitgliedsstaatlichen Rechts für die Schadenersatzpflicht in Betracht (vgl. ErwGr 146 S. 4). Im deutschen Recht gehören dazu vertragliche und vorvertragliche Ansprüche (vgl. §§ 241 Abs. 2, 280 Abs. 1 S. 1, 311 Abs. 2 BGB) sowie deliktische nach den §§ 823, 824 BGB (unter Rückgriff auf Schutznormen des StGB wie auch der DSGVO selbst, gleichzeitig mit der Einschränkung des § 831 BGB) und § 1004 BGB analog, soweit Unterlassungsansprüche geltend gemacht werden (vgl. Frenzel in Paal/Pauly DSGVO/BDSG, 2. Aufl. 2018, Art. 82 Rn. 20).
Eröffnung eines Bußgeldverfahrens wahrscheinlich
Neben den Befugnissen aus Art. 58 Abs. 2 DSGVO, von denen die Aufsichtsbehörde je nach entsprechender Erforderlichkeit und ordnungsgemäßer Ermessensausübung Gebrauch machen kann, wird sie mit hoher Wahrscheinlichkeit aufgrund des Verstoßes des Verantwortlichen und dessen Auftragsverarbeiters gegen Art. 32 DSGVO ein Bußgeldverfahren gemäß Art. 83 DSGVO eröffnen. Dabei kann Sie unter Berücksichtigung der in Art. 83 Abs. 2 lit. a) bis k) DSGVO aufgezählten Kriterien gemäß Art. 83 Abs. 4 lit. a) DSGVO ein Bußgeld von bis zu 10.000.000 Euro oder 2 % des vom Verantwortlichen bzw. dessen Auftragsverarbeiters gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, je nachdem, welcher der Beträge höher ist.
Selbst wenn die LEG nicht alle betroffenen Personen informieren muss und von deren Seite keine oder nur wenige Schadenersatz- und/oder Unterlassungsansprüche geltend gemacht werden, kann das Bußgeld überaus empfindlich ausfallen. Hierbei wird es wesentlich darauf ankommen, wie die Datenschutzorganisation innerhalb der LEG ausgestaltet ist und „gelebt wird“. Sind alle Verarbeitungsvorgänge ordnungsgemäß dokumentiert, gibt es ein schlüssiges „TOM-Konzept“ und ein Datenschutzmanagementsystem, welche Maßnahmen wurden zur Schadensminimierung getroffen, wie gestaltete sich im Nachgang der Entdeckung der Sicherheitslücke die Zusammenarbeit von LEG, deren Dienstleister und der Aufsichtsbehörde? Die Antworten auf diese Fragen werden sich erheblich auf das zu erwartende Bußgeld auswirken.