Das Amtsgericht Hildesheim hat mit Urteil vom 05.10.2020 (Az. 43 C 145/19) dem Käufer eines Computers, wegen einer unrechtmäßigen Datenweitergabe ein Schmerzensgeld in Höhe von 800 Euro zugesprochen. Wie es zur unrechtmäßigen Datenweitergabe kam, lesen Sie hier.
Der Inhalt im Überblick
Was war geschehen?
Der Kläger erwarb vom Beklagten einen PC, nahm diesen in Betrieb und wie es so üblich ist, speicherte er seine privaten Daten auf dem Betriebssystem. Als sich der PC nach kurzer Zeit nicht mehr starten ließ, widerrief der Kläger per E-Mail den Kaufvertrag mit dem Beklagten. Der Kläger erhielt eine automatisierte Eingangsbestätigung, die unter anderem folgenden Passus enthielt:
„Weiterhin möchten wir Sie darauf hinweisen, dass bei Rückgabe von Geräten mit Speichermedien, der Urzustand wieder herzustellen ist. Die Löschung aufgespielter, vertraulicher und personenbezogener Daten liegt in ihrer Verantwortung.“
In der Folge übersandte der Kläger den PC an den Beklagten, ohne zuvor die auf der Festplatte abgespeicherten Daten zu löschen, da es ihm nicht mehr möglich war, den PC zu starten.
Zudem erhielt der Kläger vor dem Rückversand des PCs folgenden Hinweis:
„Im Rahmen der Überprüfung bzw. Nachbesserung kann es zur Löschung der Daten auf dem Artikel kommen. Für einen Datenverlust übernehmen wir keine Haftung, es unterliegt vielmehr allein ihrer Verantwortung, für eine Datensicherung zu sorgen. Bitte beachten Sie, dass sie verantwortlich sind, das Gerät zurückgesetzt und ohne Passwörter zu übergeben oder uns alle erforderlichen Passwörter mitzuteilen.“
Nach Erhalt des retournierten PCs führte der Beklagte den PC der hausinternen Wiederaufbereitung zu. Im Rahmen der Wiederaufbereitung, sollen retournierte Geräte wieder in einen verkaufsfähigen Zustand versetzt werden. Hierbei wird unter anderem das Gerät auf eventuell vergessene Datenträger überprüft. Im Anschluss wird ein Werksimage aufgespielt und die auf dem Gerät noch vorhandenen Daten, werden gelöscht.
Weiterverkauf des PCs
Im Anschluss an diesen beschriebenen Prozess wurde der streitgegenständliche PC an den Zeugen H verkauft. Beim Einrichten seines neuen PCs entdeckte er, die Daten des Klägers. Nach der Aussage des H, haben sich auf der Festplatte des PCs Fotos, die Rechnung einer Autowerksatt und Steuererklärung des Klägers befunden.
Die Mitarbeiter des Beklagten hatten im Rahmen der Wiederaufbereitung übersehen, dass auf einer der beiden Festplatten noch Daten des Klägers vorhanden waren.
Die Beklagte ist der Ansicht, sie habe nicht gegen die DSGVO verstoßen, da der Kläger für die zuverlässige Vernichtung der Daten verantwortlich gewesen sei. Dem Kläger sei gar kein Schaden entstanden.
800 Euro für den Kläger
Das AG Hildesheim (Az. 43 C 145/19; Link ist nicht frei zugänglich) hat entschieden, dass dem Kläger ein Anspruch auf Zahlung eines Schmerzensgeldes nach Art. 82 Absatz 1 und 2 DSGVO in Verbindung mit § 253 I BGB in Höhe von 800 Euro zusteht.
Gemäß Art. 82 Absatz 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.
Die Haftung ist nach Art. 82 Absatz 3 ausgeschlossen, wenn dem Verantwortlichen der Nachweis gelingt, dass er in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist.
Verstoß des Beklagten gegen die DSGVO
Nach Ausführung des AG hat der Beklagte einen DSGVO-Verstoß begangen:
„Die Beklagte hat vorliegend gegen die DSGVO verstoßen, da sie den von dem Kläger eingeschickten PC ohne dessen Einwilligung an den Zeugen H. veräußert und damit die auf dem PC befindlichen Daten einem Dritten zugänglich gemacht hat. Dies stellt eine nicht rechtmäßige Verarbeitung (Art. 4 Nr. 2 DSGVO) von Daten im Sinne des Artikel 6 Absatz 1 Satz 1 a) DSGVO dar.“
Der Beklagte sei Verantwortlicher im Sinne des Art. 4 Absatz 7 DSGVO. Im Zuge der Wiederaufbereitung sollten die verbliebenden Daten auf dem PC gelöscht werden. Im Rahmen dieses Prozesses hatte nur der Beklagte Zugriff auf den PC und auf die Daten.
Aber was ist mit dem Hinweis an den Kläger?
Da bürdet sich doch die Frage auf, welche Bedeutung der Hinweis des Beklagten, dass der Kläger bei Rückgabe des PCs alle Daten löschen soll, hat.
Diesbezüglich führte das Gericht aus:
„Die Beklagte konnte sich durch allgemeine Hinweise darauf, dass bei der Rückgabe von Geräten mit Speichermedien der Urzustand wieder herzustellen sei und die Löschung aufgespielter, vertraulicher und personenbezogener Daten in der Verantwortung des Käufers bzw. Einsenders liege, ihrer Verantwortung für eine rechtmäßige Datenverarbeitung nach der DSGVO nicht entheben. Die Verlagerung für die Verantwortung mit dem Umgang von Daten käme in dem vorliegenden Fall einem pauschalen Haftungsausschluss gleich. Ein präventiver Haftungsausschluss widerspricht jedoch dem Schutzzweck der DSGVO.“
Haftungsbefreiung gemäß Art. 82 Absatz 3 DSGVO
Vorliegend sei der Beklagte auch nicht gemäß Art. 82 Absatz 3 DSGVO von der Haftung befreit. Dies würde nur dann in Betracht kommen, wenn der Beklagte nachweist, dass ihm auch nicht die geringste Fahrlässigkeit vorzuwerfen wäre. Dies ist dann der Fall, wenn der Schaden ausschließlich auf ein Klägerverhalten oder höhere Gewalt beruht.
Hiervon könne nicht ausgegangen werden, da der Beklagte selbst vorgetragen hat, dass es bei der Wiederaufbereitung aufgrund eines Mitarbeiterversehens zu einer unzureichenden Datenlöschung gekommen ist.
„Die unrechtmäßige Datenverarbeitung durch die Klägerin führte dazu, dass die Daten des Klägers einem Dritten – dem Zeugen H. – zugänglich gemacht wurden.“
Immaterieller Schaden des Klägers
Laut dem AG Hildesheim sei dem Kläger durch die einhergehende Bloßstellung, ein immaterieller Schaden entstanden.
800 Euro Schmerzensgeld seien ausreichend und angemessen. Hierbei hat das Gericht die Ausgleichs-und Genugtuungsfunktion des Schmerzensgelds berücksichtigt.
Bezüglich der Höhe des Schmerzensgeldes führt das Gericht weiter aus:
„In die Abwägung bezüglich der Höhe des Schmerzensgeldes hat das Gericht namentlich eingestellt, dass immaterielle Schadensersatzansprüche im vorliegenden Fall einen abschreckenden Charakter haben und dazu dienen sollen, der DSGVO zu einer effektiven Geltung zu verhelfen. Daneben war auf die Art, die Schwere und die Dauer des Verstoßes, den Grad des Verschuldens, die Maßnahmen zur Minderung bzw. Verhinderung des Schadens, frühere einschlägige Verstöße der Beklagten und den Umfang der geleisteten Aufklärungsarbeit der Beklagten abzustellen.“
Zudem wurde der Bemessung zugrunde gelegt, dass der Datenumfang nicht unerheblich war.
Bedeutung des Urteils
Das Urteil veranschaulicht insbesondere die Bedeutung von Kontrollprozessen mit Bezug zu Daten. Die Implementierung von Lösch-und Kontrollprozessen im Datenschutz ist obligatorisch und sollte keineswegs vernachlässigt werden. Das Urteil zeigt, dass auch ein Hinweis, dass alle Daten vom Betroffenen zu löschen sind, den Verantwortlichen nicht vor einem Schmerzensgeldanspruch retten kann.
Was ist mit Art. 32 DS-GVO? Kommt hier nicht auch noch ein Verstoß gegen die Sicherheitspflichten in Frage? Die Vertraulichkeit war ja nicht mehr gegeben.
Das Gericht ist im Rahmen der Entscheidungsgründe nicht explizit auf Art.32 DSGVO eingegangen. Die Problematik des Falles liegt darin, dass ein Verstoß gegen die DSGVO vorliegt, da der Beklagte den eingeschickten PC samt Daten des Klägers an einen Dritten veräußert hat. Dies stellt eine unrechtmäßige Verarbeitung von Daten im Sinne der DSGVO dar. Bei der Schaffung von ausreichenden Methoden, um Datenverstöße vorliegender Art zu vermeiden, kann es sich sehr wohl um Maßnahmen im Sinne von Art.32 DSGVO handeln. Jedoch wurden dem Beklagten nicht angelastet, nicht ausreichende Methoden geschaffen zu haben. Vielmehr wird der Datenverstoß auf Fahrlässigkeit zurückgeführt, so das Gericht:
„Des Weiteren geht das Gericht davon aus, dass die Beklagte im Grundsatz ausreichende Methoden geschaffen hat, um Datenverstöße der vorliegenden Art zu vermeiden. Der hiesige Datenverstoß ist zudem auf Fahrlässigkeit zurückzuführen.“