Die Dreifaltigkeitssäule in der Fußgängerzone in Baden bei Wien.
Die Kurstadt Baden hatte es 2022 ein bisschen zu eilig mit der neuen "Baden Card", es waren vorübergehend Datensätze von tausenden Bürgern für Dritte im Netz verfügbar.
IMAGO/imagebroker

Wien – Das Datenleck der Stadt Baden vor zwei Jahren blieb nicht ohne Folgen: Die Stadtgemeinde der Kurstadt im Süden Wiens wurde vom Landesgericht Wiener Neustadt zu Schadenersatz verurteilt. Ein Bürger hatte geklagt, weil vor zwei Jahren rund 33.000 Meldesätze wie Meldedaten, Zahlungsvorgänge und Daten der Baden-Card von Badener Bürgern im Internet zumindest einige Tage lang für Dritte frei abrufbar waren.

Die Höhe des Schadenersatzes scheint mit 500 Euro (zuzüglich vier Prozent Zinsen ab 15. Juni 2022) für einen der bekanntesten Kurorte zwar vernachlässigbar. In der Sache ist das Urteil aber bemerkenswert. Denn das Gericht hielt in dem am 7. Februar 2024 ergangenen Urteil fest, dass es wohl nicht zu Datendiebstahl oder gar -missbrauch gekommen sein dürfte. Aber allein die Furcht und Sorge, dass es zu einer missbräuchlichen Nutzung der Daten gekommen sein könnte, berechtige zum Schadenersatz, sagt der auf Konsumentenrecht spezialisierte Rechtsanwalt Michael Poduschka. Damit urteilte das Gericht im Sinne des Europäischen Gerichtshofs, der am 14. Dezember 2023 erkannt hatte, dass Unternehmen und Behörden bei Datenlecks zu Ausgleichszahlungen verpflichtet sind, selbst wenn kein nachweisbarer materieller Schaden entstanden ist.

Bloß ein "Unlustgefühl"?

Die Stadt Baden argumentierte vor Gericht, dass dem Kläger durch den Datenvorfall kein immaterieller Schaden entstanden sei. Bei den aufgrund des Datenlecks abrufbaren personenbezogenen Daten habe es ich um Name, Adresse, Geburtsdatum und Telefonnummer gehandelt - alles Daten, die in anderen öffentlichen Registern einsehbar seien. Außerdem sei der Abruf dieser Daten ausschließlich mittels Eingabe einer bestimmten Webadresse möglich gewesen, daher habe es sich "keinesfalls um eine allgemeine Offenlegung" gehandelt. Dem Kläger sei somit weder eine Bloßstellung noch eine sonstige spürbare und nachteilige Konsequenz widerfahren. Ein "bloß hervorgerufenes Unlustgefühl" begründe keinen ersatzfähigen immateriellen Schadenersatzanspruch.

Interessant ist in dem Zusammenhang auch, wie es zum Datenleck gekommen ist. Die Stadt hatte die Baden-Card um Neuerungen wie Online-Registrierung und -verwaltung sowie die Abwicklung von Bezahlvorgängen angereichert – alles mit dem Ziel, Amtswege zu ersparen. Das damit beauftragte IT-Unternehmen war bereits mit der alten Baden-Card betraut. Da die neue Karte bereits öffentlich angekündigt worden war, bestand offensichtlich erheblicher Zeitdruck. Denn die Beklagte, also die Stadtgemeinde Baden, "wünschte ein möglichst rasches Zurverfügungstellen des neuen Systems", heißt es im Urteil, das dem STANDARD vorliegt. Sie stellte sich damit allerdings klar gegen die Empfehlung des IT-Dienstleisters, der sich ausdrücklich gegen Veröffentlichung des Webservices vor dem 4. März 2022 ausgesprochen hatte, weil noch Konfigurationsarbeiten des neuen Systems durchgeführt werden mussten.

Die Folgen sind bekannt: Persönliche Daten wurden abgerufen, unter anderem vom Computermagazin "C't", das den Vorfall publik machte. Ob die Stadt Baden in Berufung geht, muss bis Donnerstag entschieden werden. (Luise Ungerboeck, 4.3.2024)