Häufig müssen wir im Alltag unsere Daten übermitteln, um im Gegenzug Leistungen zu erhalten. Sollen bei der Übermittlung jedoch die Risiken eines Datenverlustes minimiert werden, müssen beide Seiten entsprechende Vorkehrungen treffen. Dass die Übertragung von Daten per unverschlüsseltem USB-Stick hierbei nicht gerade zu den sichersten Methoden zählt, zeigt das Urteil des LG Essen vom 23.09.2021.
Der Inhalt im Überblick
Was war passiert?
Der Kläger und seine Ehefrau hatten sich hinsichtlich einer Immobilienfinanzierung an eine Bank gewandt. Neben der Zusendung von Unterlagen und einem File-Transfer-Link per E-Mail entschieden sich die Eheleute auch für den Einwurf eines unverschlüsselten USB-Sticks. Auf dem USB-Stick befanden sich u.a. Steuerunterlagen, Kopien von Ausweisdokumenten, Daten zu Bestandsimmobilien, und weitere Nachweise, die die finanzielle Leistungsfähigkeit der Eheleute darlegen sollten. Letztlich kam es nicht zu einem Vertragsabschluss zwischen den Parteien. Aus diesem Grund sendete die Bank, wie zuvor auch von den Eheleuten praktiziert, den USB-Stick in einem normalen Briefumschlag per Post zurück. Der besagte USB-Stick kam nach Angaben der Eheleute jedoch nie bei Ihnen Zuhause an. Über dieses Abhandenkommen informierte die Ehefrau die Bank, woraufhin diese einen erfolglosen „Lost and Found-Auftrag“ bei der Post einleitete.
Neben einer Entschuldigung und dem Hinweis darauf, dass Mitarbeitende sich eigentlich an die in den Dienstvereinbarungen geregelte moderne, digitale Informationstechnik halten sollten, leitete die Bank keine weiteren Maßnahmen ein. Insbesondere blieb auch die Meldung als Datenschutzvorfall bei der zuständigen Aufsichtsbehörde aus.
Klage auf Schmerzensgeld
Der Kläger sah in der Rücksendung des USB-Sticks per einfacher Post einen Datenverstoß seitens der Bank und verklagte diese vor dem LG Essen auf Zahlung eines Schmerzensgeldes in Höhe von 30.000 Euro. Im Verfahren legt er dar, dass seine Ehefrau nur einen leeren angerissenen Briefumschlag empfangen habe und die Beklagte für den hierdurch erlittenen immateriellen Schaden nach Art. 82 DSGVO verantwortlich sei. Alternativ hätte man Ihnen eine risikoärmere Abholung des USB-Sticks anbieten oder nach Absprache den Inhalt löschen können.
Die Beklagte sieht die Situation aus einer anderen Perspektive und behauptet, nie Anlass zu einer Übersendung des USB-Sticks gegeben zu haben und ohnehin sei die Post für den Verlust verantwortlich. Zudem hätte der Kläger den USB-Stick unverschlüsselt verschickt und damit einen möglichen unbefugten Zugriff Dritter billigend in Kauf genommen.
Wir sehen, viel Streit um einen kleinen Stick mit großer Wirkung. Doch was sagt das Gericht zu dem Vorfall?
Entscheidung des Gerichts
Das LG Essen lehnte in seinem Urteil vom 23.09.2021 den Anspruch des Klägers auf Schmerzensgeld aus Art. 82 DSGVO ab. Dem Kläger steht gegen die Beklagte der geltend gemachte immaterielle Schadensersatzanspruch aus keinem rechtlichen Gesichtspunkt, insbesondere nicht aus Art. 82 DSGVO zu.
Verstoß gegen die Meldepflicht
Das Gericht erkennt zunächst den Datenschutzverstoß hinsichtlich der fehlenden Meldung des Datenschutzvorfalls bei der zuständigen Aufsichtsbehörde in NRW an. Nach Art. 33 Abs. 1 DSGVO hätte die Bank als Verantwortliche den Vorfall unverzüglich und möglichst binnen 72 Stunden, nachdem ihr die Verletzung bekannt wurde melden müssen. Welche Informationen diese Meldung enthalten muss wird in Art. 33 Abs. 3 DSGVO ausführlich aufgezeigt. Hierbei macht das Gericht in besonderem Maße nochmals darauf aufmerksam, dass die Meldung bei der Aufsichtsbehörde nicht nur dem Betroffenen Schutz bieten soll. Zum einen wird der Verantwortliche angehalten Datenschutzverletzungen zu vermeiden, auf der anderen Seite soll der Behörde die Möglichkeit gegeben werden durch entsprechendes Einschreiten die Verletzung zu minimieren.
Verstoß gegen die Informationspflicht
Des Weiteren bejahte das Gericht einen Verstoß gegen Art. 34 DSGVO. Zwar hatte die Ehefrau den Datenverlust der Beklagten gemeldet, jedoch verlangt Art. 34 DSGVO auch den Betroffenen über die in Art. 33 Abs. 3 lit. b bis lit. d DSGVO genannten Maßnahmen und Informationen zu benachrichtigen.
Kein Verstoß hinsichtlich technischer und organisatorischer Maßnahmen
Ein Verstoß gegen Art. 24 DSGVO, Art. 25 DSGVO und Art. 32 DSGVO verneinte das Gericht jedoch. In diesen wird u.a. auf technische und organisatorische Maßnahmen wie die Pseudonymisierung und die Verschlüsselung personenbezogener Daten Bezug genommen. Allerdings sieht das Gericht in der Rücksendung des unverschlüsselten USB-Sticks per Briefumschlag keinen Fehler seitens der Beklagten. Letztlich sei der Brief auf dem Postweg verloren gegangen und nicht bei der Bank selbst.
Außerdem würden tagtäglich ausgedruckte Dokumente mit sensiblen Informationsdaten per Brief verschickt, bspw. von Anwälten. Demnach sei in dem Versenden des USB-Sticks mit ebensolchen sensiblen Daten keine Pflichtverletzung der Bank zu erkennen. Nach Ansicht des LG Essen müsse hier der USB-Stick mit sensiblen Daten nicht anders behandelt werden wie ein Dokument mit sensiblen Daten. Die Bank musste nach Ansicht des Gerichts also keine Verschlüsselung des USB-Sticks vor Versendung vornehmen. Auch eine Versendung im gepolsterten Umschlag sei nicht nötig gewesen, da der USB-Stick keine scharfen Kanten zum Aufreißen des Papiers gehabt habe.
Kein Schaden nach Art. 82 DSGVO
Das Gericht legt dar, dass obwohl nicht nur schwere Schäden von der Erstattung immaterieller Schäden nach Art. 82 DSGVO erfasst sind, dennoch ein messbarer Schaden vorliegen muss. Es führt hierzu aus:
„Allein die – etwaige – Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben.“
Vorliegend hatte der Kläger keinen solchen Schaden dargelegt, da weder bekannt ist, ob der Stick durch die Post versehentlich zerstört wurde oder ob überhaupt Dritte in den Besitz des Sticks und damit der Daten gekommen waren. Auch wenn der Verlust des nun unauffindbaren Sticks zu einem unangenehmen Gefühl beiträgt und damit auch eine Art Kontrollverlust einhergeht, begründet dies keinen Schaden im Sinne des Art. 82 DSGVO.
Vorsicht ist besser als Nachsicht
USB-Sticks sind die (heimlichen) Datenlecks schlechthin, sie sind klein, meistens voller sensibler personenbezogener Daten und gehen ständig verloren. Ob im Unternehmen oder Privat, so flexibel und praktisch die Sticks auch sind, so risikobehaftet ist ihre Verwendung.
Um einem Datenschutzvorfall und im Zweifel einer Geldbuße zu entgehen, sollten Unternehmen daher mit verschlüsselten USB-Sticks arbeiten.
Auch als Privatperson sieht man an vorliegendem Fall, dass es durchaus Sinn macht, auch selbst im Vorhinein darauf zu achten, wie man seine Daten herausgibt. Eine nachträgliche Entschädigung für einen Verlust der Daten durchzusetzen gestaltet sich meist mühsam und eher kostspielig als gewinnbringend. Auch eine spätere Geldbuße gegenüber dem Verantwortlichen „entschädigt“ den Betroffenen für seinen Verlust nur indirekt.
Inwieweit Verschlüsselungen notwendig und ratsam sind ist maßgeblich am Richtwert des Art. 32 DSGVO auszurichten. Zudem bietet das BayLDA eine Checkliste für die richtige Umsetzung technischer und organisatorischer Maßnahmen.