Das Risiko von Datenschutzverletzungen und Schadensersatz in Unternehmen

Die Risiken, die das Unternehmensmanagement umgeben, umfassen Managementkrisen und Unfälle aufgrund von Verstößen gegen die Sicherheitspflicht des Unternehmens. In jüngster Zeit ist jedoch das Risiko von Datenschutzverletzungen und daraus resultierenden Schadensersatzansprüchen zu einem großen Problem geworden.

Die Tokyo Shoko Research berichtet, dass im Jahr 2019 (Reiwa 1) 66 börsennotierte Unternehmen und deren Tochtergesellschaften Datenschutzverletzungen und Verlustunfälle öffentlich gemacht haben. Die Anzahl der Unfälle betrug 86, und die Anzahl der durchgesickerten persönlichen Informationen erreichte 9.031.734 Personen. Wenn man nicht börsennotierte Unternehmen, ausländische Unternehmen, Regierungsbehörden, Kommunalverwaltungen und Schulen hinzufügt, könnte die Zahl astronomisch ansteigen.

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Unter den Datenschutzverletzungen und Verlustunfällen ist der bisher größte immer noch der von Benesse Holdings (Benesse Corporation), der im Juli 2014 (Heisei 26) aufgedeckt wurde, bei dem 35,04 Millionen persönliche Informationen durch den unrechtmäßigen Erwerb von Kundendaten durch einen beauftragten Mitarbeiter durchgesickert sind. Im Jahr 2019 (Reiwa 1) gab es jedoch einige neue Entwicklungen in den Gerichtsverfahren zu diesem Vorfall.
Während wir das Problem von Benesse klären, denken wir über das Risiko von Datenschutzverletzungen und Schadensersatzansprüchen für Unternehmen nach.

Was ist der Benesse-Datenschutzverstoß?

Um Juni 2014 herum begannen Kunden von Benesse, Direktmails von der Fernunterrichtsfirma “Just System” zu erhalten. Dies führte zu einer starken Zunahme von Anfragen, ob die nur bei Benesse registrierten persönlichen Informationen verwendet wurden und ob persönliche Informationen von Benesse durchgesickert waren.

Am 27. Juni startete Benesse eine interne Untersuchung und meldete den Vorfall am 30. Juni an die Polizei und das Ministerium für Wirtschaft, Handel und Industrie. Am 9. Juli gab das Unternehmen auf einer Pressekonferenz bekannt, dass persönliche Informationen wie Namen, Adressen, Telefonnummern, Geschlecht und Geburtsdaten von Kindern und ihren Eltern, die Kunden von Benesse waren, durchgesickert waren.

Am 17. Juli wurde ein 39-jähriger Systemingenieur verhaftet, der für die Verwaltung des Datenbanksystems des Unternehmens Synform, das die Kundeninformationen für ein Benesse-Tochterunternehmen verwaltete, verantwortlich war und Zugriff auf die Kundendaten hatte. Er wurde beschuldigt, persönliche Informationen entwendet und an eine Adresshandelsfirma verkauft zu haben.

Im September hielt Benesse eine Pressekonferenz ab und gab bekannt, dass die Anzahl der durchgesickerten Kundendaten 35,04 Millionen betrug. Das Unternehmen hatte bereits 20 Milliarden Yen als Entschädigung für die Opfer des Datenlecks bereitgestellt. Es wurde angekündigt, dass Entschuldigungsschreiben an die betroffenen Kunden verschickt und je nach Wahl der Kunden Gutscheine im Wert von 500 Yen (elektronisches Geldgeschenk oder landesweite Buchkarte) verschickt oder 500 Yen pro durchgesickertem Datensatz an die Benesse Children’s Foundation gespendet werden, die zur Unterstützung von Kindern gegründet wurde, die von dem Datenleck betroffen waren.

In Reaktion darauf wurden mehrere Anwaltsgruppen von einigen der Opfer gegründet und Sammelklagen eingereicht. Im Jahr 2019 (Gregorianischer Kalender) gab es einige Entwicklungen in Bezug auf diese Klagen. In Bezug auf den strafrechtlichen Aspekt wurde der Systemingenieur, der beschuldigt wurde, persönliche Informationen entwendet zu haben, wegen Verstoßes gegen das Gesetz zur Verhinderung unlauteren Wettbewerbs (Vervielfältigung und Offenlegung von Geschäftsgeheimnissen) angeklagt. In einem Strafverfahren gegen ihn wurde am 21. März 2017 (Gregorianischer Kalender) vom Tokyo High Court eine endgültige Verurteilung zu einer Freiheitsstrafe von 2 Jahren und 6 Monaten ohne Bewährung und einer Geldstrafe von 3 Millionen Yen ausgesprochen.

Urteil des Obersten Gerichtshofs und Berufungsverhandlung nach Rückverweisung

In einem Rechtsstreit, in dem ein Mann aufgrund des Lecks von Namen, Adressen und Telefonnummern seiner Kinder und sich selbst psychischen Schaden erlitt und von Benesse eine Entschädigung von 100.000 Yen verlangte, hob der Oberste Gerichtshof das Urteil des Obersenats, des Obersenats von Osaka, auf und verwies den Fall zurück, da er der Ansicht war, dass die Verhandlung nicht vollständig durchgeführt worden war.

Das Bezirksgericht Himeji in Kobe, das vor der Rückverweisung die erste Instanz war, stellte am 2. Dezember 2015 fest, dass der Name des Mannes, den Benesse verwaltete, unbestritten durchgesickert war, und wies den Antrag des Mannes ab, da es keine ausreichenden Beweise dafür gab, dass dies auf ein Versäumnis von Benesse zurückzuführen war.

In der Berufungsverhandlung (Urteil des Obersenats von Osaka vom 29. Juni 2016), gegen die der Mann Berufung eingelegt hatte, wurde festgestellt, dass der Name, das Geschlecht, das Geburtsdatum, die Postleitzahl, die Adresse, die Telefonnummer und der Name des Erziehungsberechtigten (Name des Berufungsklägers) des Kindes des Berufungsbeklagten durchgesickert waren. Es wurde festgestellt, dass dies dazu führen könnte, dass die persönlichen Informationen des Berufungsklägers, wie sein Name, seine Postleitzahl, seine Adresse, seine Telefonnummer und die Namen, das Geschlecht und das Geburtsdatum seiner Familienmitglieder, durchgesickert sind. Während anerkannt wurde, dass das Durchsickern der persönlichen Informationen des Berufungsklägers Unbehagen und möglicherweise Angst hervorrufen könnte, wurde festgestellt, dass man nicht sofort Schadensersatz verlangen kann, nur weil man solche Gefühle hat. Die Berufung wurde abgewiesen, da es keine Beweise dafür gab, dass Schäden über das oben genannte Unbehagen hinaus erlitten wurden.

Urteil des Obersten Gerichtshofs

Als der Berufungskläger gegen dieses Urteil Berufung einlegte, nahm der Oberste Gerichtshof die Berufung an und stellte fest, dass der Berufungskläger durch das Leck in seiner Privatsphäre verletzt worden war. Der Obersenat von Osaka hatte den Antrag des Berufungsklägers jedoch sofort abgewiesen, nur weil es keine Beweise dafür gab, dass Schäden über das Unbehagen hinaus entstanden waren, ohne die Existenz und das Ausmaß des psychischen Schadens des Berufungsklägers durch die Verletzung der Privatsphäre ausreichend zu prüfen. Der Oberste Gerichtshof stellte fest, dass diese Entscheidung des Obersenats auf einer falschen Auslegung und Anwendung des Gesetzes über Schäden bei unerlaubten Handlungen beruhte und daher rechtswidrig war, da sie die Prüfung der oben genannten Punkte nicht vollständig durchgeführt hatte. Das ursprüngliche Urteil wurde aufgehoben und der Fall wurde an den Obersenat zurückverwiesen, um weitere Untersuchungen zur Existenz und zum Ausmaß des Verschuldens des Berufungsbeklagten und des psychischen Schadens des Berufungsklägers durchzuführen (Urteil des Obersten Gerichtshofs vom 23. Oktober 2017).

https://monolith.law/reputation/privacy-invasion[ja]

Urteil der Berufungsverhandlung nach Rückverweisung

Im Rückverweisungsverfahren stellte der Obersenat von Osaka (Urteil vom 20. November 2019) fest, dass ein Mitarbeiter des Unternehmens persönliche Informationen durch Datenübertragung mittels MTP-Kommunikation von einem MTP-kompatiblen Smartphone, das mit einem USB-Kabel an den USB-Anschluss eines Geschäftscomputers angeschlossen war, unrechtmäßig erworben und an einen Adresshändler verkauft hatte. Synform hätte geeignete Maßnahmen ergreifen müssen, um sicherzustellen, dass MTP-kompatible Smartphones nicht in das Büro gebracht werden und dass sie keinen Zugang zu den persönlichen Informationen haben, hat diese Pflicht jedoch vernachlässigt. Benesse hat gegen seine Pflicht verstoßen, eine angemessene Aufsicht über Synform zu führen, das die Nutzung der von ihm verwalteten persönlichen Informationen zugelassen hat, und hat dadurch das Leck durch den Mitarbeiter verursacht. Daher haftet Benesse für den durch diese Handlung entstandenen Schaden aufgrund von unerlaubten Handlungen (Artikel 719 Absatz 1 erster Halbsatz des japanischen Bürgerlichen Gesetzbuchs).

Dann, unter Verstoß gegen Artikel 22 des japanischen Gesetzes zum Schutz persönlicher Informationen, der besagt, dass “wenn ein Geschäft, das persönliche Daten verarbeitet, ganz oder teilweise beauftragt wird, muss es eine notwendige und angemessene Aufsicht über den Beauftragten führen, um die Sicherheit der verarbeiteten persönlichen Daten zu gewährleisten”, wurde anerkannt, dass die Privatsphäre verletzt wurde. Unter Berücksichtigung der Tatsache, dass die Adresse, der Name und die Telefonnummer des Berufungsklägers auf Websites usw. veröffentlicht wurden, wurde eine Schadensersatzzahlung von 1.000 Yen angeordnet.

Dies ist das dritte Urteil, das die Haftung von Benesse anerkennt. Am Anfang dieses Artikels schrieb ich, dass es im Jahr 2019 (Heisei 31) in einigen Prozessen um diesen Fall neue Entwicklungen gab, aber alle drei Urteile, die die Haftung von Benesse anerkannten, wurden im Jahr 2019 (Heisei 31) gefällt.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Das erste Urteil, das die Verantwortung von Benesse anerkennt

Urteil der ersten Instanz

Ein Mann behauptete, dass er psychischen Schmerz erlitten habe, weil Benesse persönliche Informationen über ihn, seine Frau und seinen Sohn nach außen durchsickern ließ. Er forderte Schadensersatz aufgrund unerlaubter Handlungen. In dem Berufungsurteil, in dem er zum ersten Mal die Zahlung von Schmerzensgeld forderte, wurde die Verantwortung von Benesse anerkannt.

Das Urteil der ersten Instanz (Yokohama Bezirksgericht, Urteil vom 16. Februar 2017) erkannte einen Verstoß gegen die Sorgfaltspflicht von Benesse an, lehnte jedoch den Anspruch gegen Benesse ab, da es keine ausreichenden Beweise dafür gab, dass Benesse gegen die Pflicht verstoßen hatte, den Umgang mit persönlichen Daten zu überwachen. Daraufhin legten der Mann und andere Berufung ein.

In der ersten Instanz wurde festgestellt, dass Benesse, obwohl es eine Empfehlung auf der Grundlage von Artikel 34 Absatz 1 des japanischen Datenschutzgesetzes erhalten hatte, weil es seine Pflichten nach Artikel 20 und 22 des gleichen Gesetzes vernachlässigt und den vorliegenden Datenschutzverstoß verursacht hatte, diese Empfehlung nicht ausreicht, um anzuerkennen, dass Benesse zum Zeitpunkt des Datenschutzverstoßes einen Fehler im Sinne von Artikel 709 des japanischen Zivilgesetzbuches begangen hat.

Urteil der Berufungsinstanz

Das Berufungsgericht, das Tokyo High Court (Urteil vom 27. Juni 2019), stellte auf der Grundlage der Tatsache fest, dass es sich nicht um eine Handlung handelte, die durch Anwendung von hochentwickeltem Wissen oder Einsatz von speziellen Techniken durchgeführt wurde, sondern um ein einfaches Verbrechen, das ausgeführt wurde, als jemand auf die Idee kam, dass Daten übertragen werden könnten, indem er einfach ein Smartphone mit einem handelsüblichen USB-Kabel an einen Geschäftscomputer anschloss, um es aufzuladen. Es wurde festgestellt, dass das Unternehmen Synform, das eine große Menge an persönlichen Daten verwaltete, fahrlässig gehandelt hatte, indem es versäumte, geeignete Kontrollmaßnahmen für MTP-kompatible Smartphones zu ergreifen. Es wurde auch festgestellt, dass Benesse fahrlässig gehandelt hatte, indem es versäumte, zum Zeitpunkt des Lecks eine angemessene Aufsicht über den Auftragnehmer in Bezug auf die Verwaltung persönlicher Daten auszuüben. Diese unerlaubten Handlungen der beiden Unternehmen wurden als gemeinsame unerlaubte Handlungen (Artikel 719 Absatz 1 erster Halbsatz des japanischen Zivilgesetzbuches) angesehen.

Dann wurde festgestellt, dass “die Berufungskläger natürlich nicht möchten, dass ihre persönlichen Informationen willkürlich an andere weitergegeben werden, und dass diese persönlichen Informationen rechtlich geschützt werden sollten, da sie Informationen betreffen, die die Privatsphäre der Berufungskläger betreffen. Durch das vorliegende Leck wurde die Privatsphäre der Berufungskläger verletzt.” Darüber hinaus wurde festgestellt, dass Benesse unmittelbar nach Bekanntwerden des Lecks Maßnahmen ergriffen hat, um die Ausweitung des Schadens durch das Leck zu verhindern, Berichte und Untersuchungen auf der Grundlage von Anweisungen von Aufsichtsbehörden durchgeführt hat, Entschuldigungsschreiben an Kunden verschickt hat, von denen angenommen wird, dass ihre Informationen durchgesickert sind, und Gutscheine im Wert von 500 Yen je nach Wahl verteilt hat. Unter Berücksichtigung der Tatsache, dass die Berufungskläger jeweils elektronische Geldgeschenke im Wert von 500 Yen erhalten haben, wurde Benesse angewiesen, jedem von ihnen 2000 Yen Schadensersatz zu zahlen.

Zweites Urteil, das die Verantwortung von Benesse anerkennt

Am 6. September 2019 fand am Bezirksgericht Tokio ein Urteil in einem Rechtsstreit statt, in dem 13 Kunden von dem Unternehmen und seinen verbundenen Unternehmen insgesamt 980.000 Yen Schadenersatz verlangten. Benesse und die Firma Shinform wurden angewiesen, pro Person 3.000 Yen (eine Person erhielt 3.300 Yen) zu zahlen, insgesamt 42.300 Yen.

Das Gericht erkannte die von den Klägern geforderte Arbeitgeberhaftung von Benesse gegenüber der Firma Shinform nicht an, da es sich um ein separates Unternehmen handelt. Jedoch hatte Shinform seine Sicherheitssoftware-Einstellungen nicht überprüft, was dazu führte, dass Datenübertragungen von Geschäftscomputern auf MTP-kompatible Smartphones möglich waren. Daher wurde festgestellt, dass es einen Verstoß gegen die Pflicht zur Kontrolle der Informationsausgabe gab. Benesse hatte bei der Beauftragung der Handhabung großer Mengen von Kundendaten für die Entwicklung des Systems usw. eine Pflicht zur Auswahl und Überwachung des Auftragnehmers nach Treu und Glauben gegenüber den Kunden, einschließlich der Kläger. Das Gericht erkannte eine gemeinsame unerlaubte Handlung (Artikel 719 Absatz 1 des japanischen Bürgerlichen Gesetzbuches) an und ordnete an, dass die Schadenersatzleistungen solidarisch an die Kläger zu zahlen sind.

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

In diesem Urteil wurde auch Artikel 22 des japanischen Gesetzes zum Schutz personenbezogener Daten zitiert, der besagt: “Wenn ein Betreiber von personenbezogenen Daten ganz oder teilweise mit der Verarbeitung beauftragt wird, muss er den Beauftragten angemessen und notwendigerweise überwachen, um die Sicherheit der beauftragten personenbezogenen Daten zu gewährleisten.” Es wurde auch darauf hingewiesen, dass die “angemessene und notwendige Überwachung” in den Leitlinien des Ministeriums für Wirtschaft, Handel und Industrie aus dem Jahr 2009 (Heisei 21) (2009) die Auswahl eines geeigneten Auftragnehmers, den Abschluss eines notwendigen Vertrags mit dem Auftragnehmer zur Einhaltung der Sicherheitsmaßnahmen gemäß Artikel 20 des Gesetzes zum Schutz personenbezogener Daten und das Verständnis der Behandlung der beauftragten personenbezogenen Daten durch den Auftragnehmer umfasst.

Zusammenfassung

Ursprünglich hatte Benesse 20 Milliarden Yen als Entschädigung für die Opfer bereitgestellt, aber das erwies sich als unzureichend. Im November 2014 entzog die Japanische Gesellschaft zur Förderung der Informations- und Wirtschaftsgesellschaft (Japan Information Economy Society Promotion Association) Benesse Holdings das Datenschutzsiegel, das Unternehmen verliehen wird, die personenbezogene Daten ordnungsgemäß verwalten. Im April 2015 betrug die Mitgliederzahl der “Shinken Seminar” und “Kodomo Challenge” 2,71 Millionen, ein Rückgang von 940.000 im Vergleich zum Vorjahresmonat. Der konsolidierte Abschluss für das Quartal von April bis Juni zeigte einen Umsatzrückgang von 7% im Vergleich zum Vorjahreszeitraum und einen Rückgang des Betriebsergebnisses um 88%. Das Betriebsergebnis wechselte von einem Überschuss von 3,91 Milliarden Yen im Vorjahreszeitraum zu einem Defizit von 430 Millionen Yen. Das Risiko von Schadenersatzansprüchen aufgrund von Datenschutzverletzungen kann für Unternehmen zu einer Frage von Leben und Tod werden.